Olay ve İhlal Yanıtı, Güvenlik Operasyonları
Technology Giant Daha önce ihlal raporlarını reddetmek için ‘Wordplay’ kullanmakla suçlandı
Mathew J. Schwartz (Euroinfosec) •
3 Nisan 2025
Siber güvenlik uzmanları, Oracle’ın altyapıdan kaynaklanan bir müşteri veri ihlali ile işlenmesini çarptı, teknoloji devinin güncellenmesi ve güvende kalamadığı.
Ayrıca bakınız: Dijital adli tıp ve olay yanıtı için Gartner Rehberi
Son iki hafta boyunca bir müşteri veri ihlalini reddettikten sonra, Austin, Teksas merkezli Oracle yaklaşık bir yüz yaptı.
Anonim kaynaklara atıfta bulunan Bloomberg News, Çarşamba günü yaptığı açıklamada, Oracle’ın bilinmeyen bir dizi bulut altyapısı müşterisine, bilgisayar korsanlarının “kullanıcı adları, pasifler ve şifreli şifreleri” olarak çaldığını ve FBI’nın da araştırdığı ihlali araştırmak için işe alındığını bildirdi.
Oracle, bu raporla ilgili yorum talebine hemen yanıt vermedi.
Bu, Hacker’ların 2022’de edindiği sağlık teknolojisi satıcısı Cerner tarafından çalındığını iddia ettikten sonra, Oracle’ın 22 Ocak’ta bir saldırganın, Cerner Cloud’taki bir saldırganın Cerner Bulutu üzerindeki verilere erişmek için tehlikeli müşteri kimlik bilgilerini kullandığını bildirdikten sonra Oracle tarafından onaylandığı bildirilen ikinci ihlal olacaktır. Oracle Health, Hack of Legacy Cerner EHR verilerine yanıt veriyor).
Teknoloji devinin ikinci ihlali kabul etme konusundaki görünen kayması, Oracle’ın günlerce inkardan sonra geldi ve 20 Mart’ta satışa sunuldukları için “Rose87168” kullanıcısının ardından 6 milyon Oracle Cloud kullanıcılarının kullanıcı adları, şifreleri, paskuklar ve güvenlik sertifikaları, ilk önce bükülme bilgisayarı tarafından bildirildiği gibi.
Oracle yayına 21 Mart’ta bu açıklamaya cevap verdi: “Oracle Cloud’un ihlali yoktu. Yayınlanan kimlik bilgileri Oracle Cloud için değil. Oracle Cloud müşterileri hiçbir ihlal yaşamadı veya herhangi bir veri kaybetmedi.”
Yanıt olarak, tehdit oyuncusu görünüşe göre, yalnızca Oracle tarafından yönetilen bulut altyapısında kendi e -posta adreslerini içeren bir metin dosyası oluşturmak için çalınan kimlik bilgilerini kullandı ve daha sonra Oracle’ın destek ekibiyle sohbet mesajları yayınladı ve görünüşe göre bir müşterinin tehlikeye atılmış hesabı kullanılarak yapılmış.
Tehdit oyuncusu, etkilenen müşterileri zorlamaya çalışıyor, bilgilerini başkalarına satılmadan veya sızdırılmadan önce veri setinden çıkarmak için bir fidye ödemelerini talep ediyor.
Çalınan verilerin kamuya açık ve kamuya açık olmayan örneklerini gözden geçiren çoklu siber güvenlik uzmanları, bunun gerçek göründüğünü söyledi.
Trustwave SpiderLabs Tehdit İstihbaratı Kıdemli Güvenlik Araştırma Yöneticileri Karl Sigler, Bloomberg News’e, firmasının satıldığını ve meşru olduğunu doğruladığını ve kişisel olarak tanımlanabilir bilgilerin yüksek hedefli kimlik avı saldırılarını körükleyebileceğini ve saldırganların müşterilerin hesaplarına giriş yapmasına izin verdiğini söyledi.
TrustWave SpiderLabs son blog yazısında, “Veri kümesi, ilk ve soyadı, tam görüntü adları, e -posta adresleri, iş başlıkları, departman numaraları, telefon numaraları, cep telefonu numaraları ve hatta ev iletişim bilgileri gibi PII’yi içeriyor.” Diyerek şöyle devam etti: “Bu maruz kalma düzeyi hemen kimlik hırsızlığı, mızrak kimlik avı saldırılarına ve sosyal mühendislik kampanyalarına yol açabilir, burada saldırganların ek iç sistemlere veya dolandırıcılık ortaklarına erişmek için çalışanları veya yöneticileri taklit ettiği.”
Siber güvenlik firması Cloudsek, 140.000 Oracle Cloud kiracıyla ilgili bilgilerin, CVE-2021-35587 olarak izlenen Oracle Fusion Middleware’in Opensso Agent bileşeninde kritik bir güvenlik açığını hedefleyerek elde edildiğini söyledi. 2021’deki ABD Ulusal Güvenlik Açığı Veritabanı, “kolayca kullanılabilir güvenlik açığının, Oracle Access Manager’ı tehlikeye atmak için HTTP aracılığıyla ağ erişimi olan yetkili olmayan saldırganlara izin verdiği konusunda” uyardı.
“Tehdit oyuncusu ile olan katılımımız, olası bir açıksız güvenlik açığı öneriyor. login.(region-name).oraclecloud.comYetkisiz erişime yol açıyor, “dedi Cloudsek.
Yazılım ve donanım varlıklarını haritalayan FOFA arama motorunu kullanarak firma, hedeflenen sunucunun en son 27 Eylül 2014 civarında güncellendiğini, yani CVE-2021-35587’ye duyarlı olacağını buldu. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, Kasım 2022’de bilinen güçlendirilmiş güvenlik açıkları kataloğuna kırılganlığı ekledi.
İngiliz siber güvenlik uzmanı Kevin Beaumont, LinkedIn’e yaptığı bir yazıda, “Sunucuları çevrimiçi bıraktılar ve açılmamışlar” dedi. “Büyük soru, eğer Oracle olayı yazılı olarak kabul edemezse ve yanıltıcı ifadeler yayınlıyorsa, başka ne oldu, Tehdit Oyuncu Touch vb. Olacle’ın şirket kültürleriyle çatışmasına rağmen şeffaf olma sorumluluğuna sahip olması.”
Beaumont bu haftanın başlarında Oracle’ı “Oracle Cloud” un ihlali olmadığını iddia ederek “Oracle Cloud çevresindeki sözcük ifadeleri ve sorumluluktan kaçınmak için çok özel kelimeler kullanma” ile suçladı. İhlalin, Oracle’ın Oracle Classic olarak yeniden markalaştığı Oracle Cloud olarak adlandırılan bulut hizmetine odaklandığını söyledi.
Oracle’ın, Oracle Cloud Altyapı’nın Oracle Classic, AKA 1 Nesil 1’in ihlalini sözlü olarak onaylamak için müşterilerle iletişime geçtiği bildiriliyor.
“Birden fazla Oracle Cloud müşterileri bana Oracle’ın hizmetlerinin ihlalini doğruladığını söylemek için bana ulaştı.” Diyerek şöyle devam etti: “Bu, Oracle Health’teki devam eden ihlallerde tıbbi PII’nin ihlaline benzer davranışlardır, burada ayrıntıları yazılı olarak değil, sadece sözlü olarak sağlayacaklar.”
Siber güvenlik uzmanı Brian Honan, LinkedIn’e yaptığı bir yazıda, “Oracle’ın bu sorunu ele almasının kariyerimde gördüğüm en kötülerden biri olduğunu söylemeliyim.” Dedi. “Müşterilerle odaklanmaları, müşterilerinden ziyade Oracle’ın markasını korumakla ilgili görünüyordu.”
Veri ihlali üzerinden sınıf eylemi statüsü arayan en az bir dava açılmıştır. Dava, Oracle’ı ihmal, sözleşme ihlali, haksız zenginleştirme ve güvene dayalı görevin ihlali ve diğer sonuçların yanı sıra, Oracle’ın gelecek on yıl boyunca bilgi güvenliği duruşunun üçüncü taraf denetimine sunulması istenmesi ile suçluyor.
Halka açık olarak işlem gören Oracle ya yatırımcılara ihlal bildirmedi ve bunu yapıp yapamayacağı açık değil. ABD Menkul Kıymetler ve Borsa Komisyonu, kapsanan kuruluşların belirledikleri herhangi bir siber güvenlik olayının önemli olduğunu açıklamalarını gerektirir, yani bu tespitin yapıldıktan sonraki dört iş günü içinde “makul bir yatırımcının önem vermesi için önemli bir olasılık” vardır.
Oracle’ın iletişimine bakılmaksızın, potansiyel olarak etkilenen tüm müşteriler derhal “tüm SSO, LDAP ve ilişkili kimlik bilgilerini döndürmeli, güçlü şifre politikaları sağlayarak ve çok faktörlü kimlik doğrulamasını zorlamalı” dedi. Firma ayrıca, etkilenen tüm müşterilerin, “şüpheli kimlik doğrulama girişimleri için” LDAP günlüklerini inceleme ve birbirine bağlı herhangi bir sisteme yetkisiz erişim belirtileri de dahil olmak üzere bir olay müdahale soruşturması başlatmasını önermektedir.