内容摘要：CloudSEK的XVigil平台近期调查发现，一起针对甲骨文云Oracle Cloud）的网络攻击导致600万条记录被窃取，可能影响超过14万名租户。据报道，一名名为“rose87168”的威胁行为

CloudSEK的黑客XVigil平台近期调查发现，一起针对甲骨文云（Oracle Cloud）的条文否网络攻击导致600万条记录被窃取，可能影响超过14万名租户。记录甲骨据泄

据报道 ，认数一名名为“rose87168”的黑客威胁行为者实施了此次攻击 ，窃取了包括JKS文件、条文否加密的记录甲骨据泄SSO密码、密钥文件和企业管理器JPS密钥在内的认数敏感数据 ，这些数据目前正在Breach Forums和其他暗网论坛上出售。黑客

攻击细节与威胁行为者活动

自2025年1月以来，条文否该攻击者一直活跃，亿华云记录甲骨据泄声称已攻陷子域名login.us2.oraclecloud.com，认数该子域名现已被关闭
。黑客根据2025年2月17日的条文否Wayback Machine记录，该子域名曾托管Oracle Fusion Middleware 11G
 。记录甲骨据泄攻击者要求受影响租户支付赎金以删除其数据 ，甚至为协助解密被盗的SSO和LDAP密码提供奖励。

CloudSEK的分析表明 ，威胁行为者可能利用了Oracle Cloud服务器的漏洞版本，特别是旧版漏洞CVE-2021-35587，该漏洞影响Oracle Fusion Middleware（OpenSSO Agent） ，源码库受影响的版本包括：

11.1.2.3.012.2.1.3.012.2.1.4.0

该漏洞于2022年12月被添加到CISA KEV目录中 ，允许未经身份验证的攻击者攻陷Oracle Access Manager，可能导致完全控制 。这与攻击者窃取和共享的数据类型一致。利用该漏洞，攻击者可能获得环境的初始访问权限，然后在Oracle云环境中横向移动，访问其他系统和数据 。进一步调查显示，Oracle Fusion Middleware服务器最后一次更新是在2014年9月27日 ，免费模板表明软件已过时。

CloudSEK研究人员在与Hackread.com独家分享的博客文章中指出 ：“由于缺乏补丁管理实践和/或不安全的编码，威胁行为者利用了Oracle Fusion Middleware中的漏洞。这一易于利用的漏洞允许未经身份验证的攻击者通过HTTP网络访问攻陷Oracle Access Manager。”

甲骨文的回应与潜在影响

然而
，甲骨文发布声明否认其云基础设施遭到入侵 。甲骨文在回应报告时表示 ：“甲骨文云并未遭到入侵 。公布的凭证并非用于甲骨文云
。源码下载没有任何甲骨云客户遭遇入侵或丢失数据 。”这一声明直接与CloudSEK的调查结果和攻击者的说法相矛盾 。

尽管如此，如果此次入侵确实发生，其影响可能非常严重
，因为600万条记录的暴露增加了未经授权访问和企业间谍活动的风险。JKS文件的窃取尤为令人担忧，因为这些文件包含加密密钥，可用于解密敏感数据或访问受影响组织内的其他系统。服务器租用此外，加密的SSO和LDAP密码的泄露可能导致甲骨文云环境中进一步的数据泄露 。零日漏洞的使用也引发了对甲骨云整体安全性的担忧 。

安全建议与应对措施

CloudSEK建议立即进行凭证轮换、彻底的事件响应和取证、持续的威胁情报监控，并与甲骨文安全团队联系以进行验证和缓解。他们还建议加强访问控制 ，高防服务器以防止未来类似事件的发生 。