En primer lugar, quiero comentar rápidamente que este post y esta pequeña sección de Cibernoticiero la quiero hacer ya que creo que las noticias de Ciberseguridad están dispersas entre toda la prensa y nunca viene mal estar al día de cosas así.
Hace pocos días han surgido diversas publicaciones que han puesto en alerta tanto a la comunidad de ciberseguridad como a los clientes de Oracle. Se alega que un supuesto hacker, identificado con el alias @rose87168, ha comprometido datos sensibles de millones de usuarios. En este post, resumo la información que sabemos hasta el momento.
El delincuente afirma haber robado 6 millones de credenciales almacenadas en la infraestructura de la nube de Oracle, en concreto, en el subdominio que controla el acceso a servicios en la región de Estados Unidos. La filtración incluiría información crítica y archivos JKS (que contienen certificados de seguridad y claves criptográficas). Aunque Oracle ha negado categóricamente que se haya producido una brecha en su servicio Oracle Cloud Infrastructure (OCI), múltiples expertos han aportado pruebas que sugieren lo contrario. Las credenciales compartidas, y la verificación a través de mensajes y pruebas en el servidor, apuntan a que hubo acceso no autorizado a los sistemas de autenticación
Una de las hipótesis analizadas por investigadores en ciberseguridad, como los de CloudSEK, es que la brecha puede estar relacionada con una vulnerabilidad conocida (CVE-2021-35587) en Oracle Access Manager. Se ha señalado que la versión de Oracle Fusion Middleware instalada en el servidor afectado no se había actualizado desde septiembre de 2014, lo que habría permitido a un atacante explotar un fallo de seguridad. Este tipo de vulnerabilidad que posibilitaría el control total del sistema de acceso sin requerir herramientas sofisticadas.
Fuentes adicionales confirman el robo masivo de datos, subrayando que se trata de una brecha que ha afectado a millones de usuarios de Oracle. La verificación se basa en la comprobación de registros y credenciales.
Otro aspecto relevante es el aviso emitido por Oracle en su blog, que alerta a clientes del sector salud sobre la filtración de datos de pacientes. Esto implica que, además del riesgo en la integridad de las credenciales de acceso, la información sensible de pacientes y datos médicos podrían estar en juego, generando incertidumbre en el sector.
La empresa ha emitido un comunicado oficial en el que rechaza que se haya producido cualquier brecha en sus sistemas, afirmando que las credenciales filtradas no corresponden a su servicio en la nube y que ningún cliente ha sufrido pérdida de datos. Sin embargo, este comunicado no convence a los expertos en ciberseguridad y a algunos medios especializados, que apuntan a evidencias técnicas y testimonios externos que evidencian la intrusión.
Este incidente es un llamado de atención tanto para las empresas proveedoras de servicios en la nube como para sus clientes, quienes deben exigir y garantizar prácticas de seguridad de primer nivel, a fin de mitigar el impacto en una era donde la información es uno de los activos más valorados y, a la vez, vulnerables.
Espero que os haya gustado o, al menos, generado un poco de interés. Pronto volveré con una nueva noticia.
ÍNDICE
- Introducción
- El presunto ataque y la magnitud de la filtración
- Técnicas y vulnerabilidad aprovechada
- Confirmación del robo y ramificaciones
- Impacto en sectores sensibles
- Respuesta y postura de Oracle
- Conclusiones y reflexiones finales
1. Introducción
Hace pocos días han surgido diversas publicaciones que han puesto en alerta tanto a la comunidad de ciberseguridad como a los clientes de Oracle. Se alega que un supuesto hacker, identificado con el alias @rose87168, ha comprometido datos sensibles de millones de usuarios. En este post, resumo la información que sabemos hasta el momento.
2. El presunto ataque y la magnitud de la filtración
El delincuente afirma haber robado 6 millones de credenciales almacenadas en la infraestructura de la nube de Oracle, en concreto, en el subdominio que controla el acceso a servicios en la región de Estados Unidos. La filtración incluiría información crítica y archivos JKS (que contienen certificados de seguridad y claves criptográficas). Aunque Oracle ha negado categóricamente que se haya producido una brecha en su servicio Oracle Cloud Infrastructure (OCI), múltiples expertos han aportado pruebas que sugieren lo contrario. Las credenciales compartidas, y la verificación a través de mensajes y pruebas en el servidor, apuntan a que hubo acceso no autorizado a los sistemas de autenticación
3. Técnicas y vulnerabilidad aprovechada
Una de las hipótesis analizadas por investigadores en ciberseguridad, como los de CloudSEK, es que la brecha puede estar relacionada con una vulnerabilidad conocida (CVE-2021-35587) en Oracle Access Manager. Se ha señalado que la versión de Oracle Fusion Middleware instalada en el servidor afectado no se había actualizado desde septiembre de 2014, lo que habría permitido a un atacante explotar un fallo de seguridad. Este tipo de vulnerabilidad que posibilitaría el control total del sistema de acceso sin requerir herramientas sofisticadas.
4. Confirmación del robo y ramificaciones
Fuentes adicionales confirman el robo masivo de datos, subrayando que se trata de una brecha que ha afectado a millones de usuarios de Oracle. La verificación se basa en la comprobación de registros y credenciales.
5. Impacto en sectores sensibles
Otro aspecto relevante es el aviso emitido por Oracle en su blog, que alerta a clientes del sector salud sobre la filtración de datos de pacientes. Esto implica que, además del riesgo en la integridad de las credenciales de acceso, la información sensible de pacientes y datos médicos podrían estar en juego, generando incertidumbre en el sector.
6. Respuesta y postura de Oracle
La empresa ha emitido un comunicado oficial en el que rechaza que se haya producido cualquier brecha en sus sistemas, afirmando que las credenciales filtradas no corresponden a su servicio en la nube y que ningún cliente ha sufrido pérdida de datos. Sin embargo, este comunicado no convence a los expertos en ciberseguridad y a algunos medios especializados, que apuntan a evidencias técnicas y testimonios externos que evidencian la intrusión.
7. Conclusiones y reflexiones finales
Este incidente es un llamado de atención tanto para las empresas proveedoras de servicios en la nube como para sus clientes, quienes deben exigir y garantizar prácticas de seguridad de primer nivel, a fin de mitigar el impacto en una era donde la información es uno de los activos más valorados y, a la vez, vulnerables.
Espero que os haya gustado o, al menos, generado un poco de interés. Pronto volveré con una nueva noticia.
