El 21 de marzo de 2025, se reveló un ciberataque que comprometió la seguridad de datos de más de 140,000 propietarios de dominios, afectando significativamente a empresas, entre ellas, algunas croatas. Un atacante que se identifica como "Rose87168" anunció en un foro de hackers la venta de 6 millones de registros potencialmente robados de Oracle Cloud. Los datos comprometidos incluyen archivos JKS (Java Key Store), contraseñas de inicio de sesión SSO cifradas, archivos de clave y claves JPS, lo que plantea serias preocupaciones sobre la seguridad de las organizaciones afectadas.
Se sospecha que el compromiso se debió a una vulnerabilidad en el sistema de inicio de sesión de Oracle Cloud, que parece haber sido explotada sin la debida atención a su fortaleza técnica. El atacante hizo una lista pública de las empresas cuyos datos se consideran comprometidos y está buscando asistencia para descifrar las contraseñas. Asimismo, las empresas afectadas han ofrecido la opción de eliminar sus datos a cambio de recompensas monetarias. Además, el atacante ha brindado detalles sobre la vulnerabilidad de día cero que facilitó el ataque.
El subdominio login.us2.oraclecloud.com fue el objetivo principal, aunque ya ha sido eliminado. Los datos robados están disponibles para su compra, junto con muestras de los mismos para probar el compromiso.
La situación presenta diversas consecuencias potenciales:
-
Fugas de datos masivos: Con 6 millones de registros expuestos, hay un gran riesgo para los datos comerciales de múltiples compañías. Esta cantidad de datos robados tiene el potencial de causar un daño considerable.
-
Compromiso de credenciales: Las contraseñas de SSO y LDAP robadas pueden facilitar ataques adicionales en los entornos de Oracle Cloud, poniendo en riesgo la seguridad de otros sistemas.
-
Chantaje y extorsión: El atacante está intentando monetizar el compromiso, lo que podría llevar a las empresas a enfrentar situaciones de presión financiera.
- Riesgo para la cadena de suministro: La exposición de las claves JKS hace posible que atacantes comprometan sistemas interrelacionados y accedan a más información sensible.
Ante estas amenazas, se aconsejan varias medidas de seguridad:
-
Modificación de contraseñas: Se recomienda cambiar las contraseñas de las cuentas LDAP, especialmente para aquellas con privilegios elevados. Implementar reglas para contraseñas seguras y utilizar autenticación multifactorial es crucial.
-
Actualización de SASL Hasheve: Es importante regenerar las credenciales SASL/MD5 o adoptar métodos de autenticación más seguros para evitar accesos no autorizados.
-
Restauración de certificados: Reemplazar todos los certificados SSO/SAML/OIDC afectados es necesario para recuperar la confianza en la configuración de seguridad.
-
Revisión de registros LDAP: Monitoring para detectar intentos de autenticación sospechosos puede ayudar a identificar accesos no autorizados.
- Monitoreo continuo: Implementar un seguimiento constante para detectar comportamientos anómalos o accesos sospechosos en tiempo real es fundamental.
A medida que la situación evoluciona, es crucial que todas las organizaciones impactadas evalúen su exposición a este ataque y adopten medidas proactivas para salvaguardar sus activos digitales. La vigilancia constante y la actualización de las políticas de seguridad son clave en este complicado panorama de amenazas cibernéticas. Para verificar si su dominio está entre los potencialmente comprometidos, se puede consultar el enlace indicado: https://exposure.cloudsek.com/oracle.