Oracle

水曜、CISAは、今年初めにオラクル・クラウドのレガシー・サーバーが侵害された後、侵害リスクが高まっていると警告し、企業ネットワークに対する重大な脅威を強調した。

CISAは、「報告された活動の性質は、特に、クレデンシャル資料が公開されたり、関連性のない別のシステム間で再利用されたり、埋め込まれたり(すなわち、スクリプト、アプリケーション、インフラストラクチャテンプレート、または自動化ツールにハードコードされたり)する可能性がある場合、組織や個人に潜在的なリスクをもたらす」と述べた。

「クレデンシャル資料が埋め込まれている場合、それを発見することは困難であり、公開された場 合、長期の不正アクセスを可能にする可能性がある。ユーザー名、電子メール、パスワード、認証トークン、暗号化キーを含むクレデンシャル資料の漏洩は、企業環境に重大なリスクをもたらす可能性がある。

米国のサイバーセキュリティ機関はまた、結果として生じたクレデンシャル流出に関連するリスクを軽減するためのガイダンスを発表し、ネットワーク防御者に対して、影響を受けたユーザーのパスワードをリセットすること、ハードコードされた、または埋め込まれたクレデンシャルを安全な認証方法に置き換えること、可能な限りフィッシングに強い多要素認証(MFA)を実施すること、不審なアクティビティがないか認証ログを監視することを促している。

この警告は、オラクルが顧客に送信した電子メール通知で、同社が “2つの旧式のサーバー “と説明しているものから盗まれた認証情報が脅威行為者によって流出したことを確認した後に出された。

しかし、オラクルは、Oracle Cloudサーバーは侵害されておらず、この事件は同社のクラウドサービスや顧客データには影響しなかったと付け加えた。

Oracle email statement ()
オラクルの電子メールによる声明

オラクルはまた、2017年に最後に使用された「レガシー環境」に侵入した後、攻撃者が古いクライアントの認証情報を盗んだことを、一部の顧客との通話で内々に認めている。しかし、侵害の背後にいるハッカーは、BreachForumsに2025年からの新しいレコードを投稿し、2024年末からのデータを共有した。

は別途、脅威行為者から受け取った流出データサンプル(関連するLDAP表示名、電子メールアドレス、名字、その他の識別情報を含む)が有効であることを複数のオラクル顧客に確認している

3月下旬には、サイバーセキュリティ企業のCybelAngelも、オラクルが顧客に対して、攻撃者が2025年1月の時点で、同社のGen 1(Oracle Cloud Classicとしても知られる)サーバーの一部にウェブシェルと追加のマルウェアを展開したと伝えたことを明らかにした。

2月下旬に侵入が検知されるまで、攻撃者はOracle Identity Manager(IDM)データベースからデータを盗んだとされ、これにはハッシュ化されたパスワード、ユーザー名、ユーザーの電子メールが含まれていた。

先月には、オラクルが1月にもOracle Health(以前はCernerとして知られていたSaaS企業)の情報漏えいで、複数の米国の医療機関や病院の患者データに影響を与えたことについて、個人顧客向けの通知を発行したことが報じられた。