[English]Noch ein kleiner Nachtrag von dieser Woche. Vor einigen Tagen kam mir bereits auf X die Meldung unter, dass das US-Unternehmen Oracle gehackt worden sei. Oracle bestreitet als Unternehmen einen Hack. Aber Unternehmen, die in den vom Hacker erbeuteten Daten von Oracle aufgelistet sind, bestätigen, dass dort von ihnen benutzte Daten gefunden wurden. Der Hack könnte, so zutreffend, viele Oracle-Kunden treffen. Hier ein Abriss, was bisher bekannt ist.
Anzeige
Gerüchte über Oracle Hack seit 21. März 2025
Mir sind bereits vor einer Woche Gerüchte über einen Hack des US-Unternehmens Oracle auf X in Tweets untergekommen. Ein Bedrohungsakteur mit dem Alias rose87168 gab an, in die Oracle-Cloud-Server eingedrungen zu sein und Daten abgefischt zu haben. Der Angreifer gab an, Authentifizierungsdaten und verschlüsselten Passwörter von 6 Millionen Benutzern erbeutet zu haben.
Post zum Oracle-Hack; Quelle: Bleeping Computer
Weiterhin behauptete der Bedrohungsakteur, dass gestohlene SSO- und LDAP-Passwörter mithilfe der Informationen in den gestohlenen Dateien entschlüsselt werden könnten (siehe obiger Screenshot). Er bot an, einige der Daten mit jedem zu teilen, der bei ihrer Wiederherstellung helfen könnte. Dazu hatte er mehrere Textdateien einer Beispieldatenbank mit LDAP-Informationen veröffentlicht. Dazu gab es eine Liste der Unternehmen, deren LDAP-Informationen angeblich von der SSO-Plattform von Oracle Clouds gestohlen wurden.
Ich hatte dies wegen spärlicher Informationen nicht aufgegriffen. Auch weil die Kollegen von Bleeping Computer im Beitrag Oracle denies breach after hacker claims theft of 6 million data records ein Statement von Oracle thematisiert hatten. Der US-Hersteller bestritt seinerzeit, dass ein Hack stattgefunden habe.
Anzeige
Nein, doch, oh! Oracle wohl doch gehackt
Inzwischen muss Oracle wohl zurückrudern, denn Oracle-Kunden haben gegenüber Bleeping Computer bestätigt, dass sie in den veröffentlichten Beispielen eigene Daten gefunden haben, die von der SSO-Plattform der Oracle Cloud stammen. Die Kollegen von Bleeping Computer haben es gestern im Beitrag Oracle customers confirm data stolen in alleged cloud breach is valid aufgegriffen.
Angeblich sind LDAP-Daten und eine Liste von 140.621 Domänen von Unternehmen und Regierungsbehörden von der angeblich Sicherheitsverletzung betroffen. Der Bedrohungsakteur versucht diese Daten nun in Untergrundforen zu verkaufen.
Bleeping Computer gibt an, dass mehrere ungenannt bleiben wollende Unternehmen erklärt hätten, dass sie in den Datensätzen LDAP-Anzeigenamen, E-Mail-Adressen, Vornamen und andere identifizierende Informationen gefunden haben, die alle korrekt seien und zum Unternehmen gehören.
Ergänzung: Sicherheitsforscher Alon Gal hat 10.000 Datensätze vom Hacker erhalten und begonnen, diese mit Unternehmen abzugleichen. Unternehmen bestätigen die Echtheit der Daten.
Bleeping Computer liegen vom Bedrohungsakteur auch Mails vor, die dieser mit der Oracle-Adresse secalert_us@oracle.com ausgetauscht hat. Weiterhin verfügt die Redaktion auch über angebliche Antwort-Mails von Oracle, wobei nicht verifizierbar ist, ob das alles stimmt.
Weitere Informationen zum Hack
In nachfolgendem Tweet gibt ein Sicherheitsforscher bereits zum 24. März 2025 einige Details preis. Er schreibt, dass rose87168 behauptet, die Schwachstelle CVE-2021-35587 im Oracle Access Manager von Oracle Fusion Middleware (im OpenSSO Agent) verwendet habe, um den Server login[.]us2[.]oraclecloud[.]com zu kompromittieren.
Oracle leugnete daraufhin den Angriff, trennte aber schnell die Verbindung des Servers zum Internet (wahrscheinlich um Nachforschungen anzustellen). Der Sicherheitsforscher schreibt: "Das Problem ist, dass Oracle mindestens 14 weitere Server unter *.oraclecloud[.]com mit der gleichen verwundbaren Version hat, die der Angreifer erwähnt hat." Das sieht alles nicht wirklich so gut aus.
Die Cyber-Security-Firma Cloud-Seek hat bereits am 21. März 2025 im Beitrag The Biggest Supply Chain Hack Of 2025: 6M Records Exfiltrated from Oracle Cloud affecting over 140k Tenants eine Reihe an Informationen und Details veröffentlicht und den Beitrag zum 27. März 2025 aktualisiert). So findet sich dort der obige Screenshot des Bedrohungsakteurs sowie weiteres Material von "rose87168".
Die erbeutete Datenbank soll 6 Millionen Datensätze enthalten, die aus Oracle Clouds SSO und LDAP stammen. In den Datensätzen wurden JKS-Dateien, verschlüsselte SSO-Passwörter, Schlüsseldateien, Enterprise Manager JPS-Schlüssel etc. gefunden.
Die Liste der betroffenen Mandanten umfasst mehr als 140.000 Einträge (darunter wohl Adidas, Nike, Mastercard, Visa etc.), und der Bedrohungsakteur fordert die Unternehmen aus der Liste auf, sich mit ihm in Verbindung zu setzen. Ziel sei es, dass die Unternehmen und eine bestimmte "Gebühr" zahlen, damit ihre Daten aus der Datenbank entfernt werden.
Besonders brisant sind die Informationen, dass die Oracle Fusion Middleware Server laut fofa zuletzt am "Sat, 27 Sep 2014" aktualisiert wurden. Die Oracle Fusion Middleware hatte eine kritische Sicherheitslücke CVE-2021-35587, die Oracle Access Manager (OpenSSO Agent) betrifft. Diese wurde im Dezember 2022 in die CISA KEV (Known Exploited Vulnerabilities) aufgenommen.
Im Beitrag The Biggest Supply Chain Hack Of 2025: 6M Records Exfiltrated from Oracle Cloud affecting over 140k Tenants finden sich weitere Details und auch Vorschläge, was Unternehmen, die Opfer geworden sind, tun können. Auch Orca-Security hat das Thema in diesem Beitrag aufgegriffen und schlägt vor, die "Oracle Cloud mit der Orca-Plattform" abzusichern.
Anmerkung: Oracle sagt, wenn ich es bei Bleeping Computer richtig gelesen habe, dass die Daten nicht aus OCI (steht für Oracle Cloud Infrastructure) stammen. Im Screenshot des Hackers (siehe oben) wird aber behauptet, dass die traditionellen Oracle-Server über login.(region-name).oraclecloud.com gehackt wurden. Hier gibt es für mich eine gewisse Unsicherheit, denn OCI scheint mir nicht die oben erwähnte "traditionelle" Oracle Cloud zu sein. Ob die Ausführungen in diesem heise-Kommentar stichhaltig sind, vermag ich nicht zu beurteilen.
Anzeige
Extrem heftig… Es ist einfach illusorisch, dass dies irgend eine Firma zuverlässig und dauerhaft beherrschen kann. Wurde nun einmal mehr bewiesen. Irgendwann trifts jeden grossen Cloud-Anbieter. MS mit den Auth-Services und nun Oracle.
Bekannt werden auch nur die Akteure die Geld machen wollen. Selten die staatlichen die alles abziehen. Auch reale physische Bedrohungen wie ne handvoll Raketen auf eine handvoll grosse Rechenzentren wird einfach ignoriert. Es ist einfach krank wie verwundbar sich der Westen gemacht hat. Alles unter dem Decknamen Fortschritt.
Die Baustellen a. k. a. Sicherheitslücken in der IT-Branche sind überwiegend hausgemacht: Vernetzung, Zentralisierung, minderwertige Softwarequalität, (grobe) Fahrlässigkeit, gewachsene Strukturen, falsche Prioritäten, unzureichende oder fehlende Dokumentation und, und, und.
Viele IT-Infrastrukturen passen auch nicht zu den Unternehmen. Die wachsende "Cloud-Müdigkeit" ist das Endresultat. Wenn es um eine skalierbare Infrastruktur geht, könnten viele Unternehmen das auch mit einer Private Cloud leisten, wenn sie denn wüssten, dass es geht.
wie Heiko A. bereits sagte alles hausgemacht. Es gibt halt die die Ihre Hausaufgaben gemacht haben und sich da zurücklehnen und nur müde lächeln und die Ofper die es einem nach den anderen trifft. Du selbst hast es in der Hand zur welcher Sorte du gehörst.
M A C H T euren Job und flennt nicht rum! IT ist keine Raketenwissenschaft. Die Grundlagen sind doch schon seit Jahrzehnten bekannt. Bequemlichkeit und Gier sind die Ursache. Wer halt nicht hören will muss fühlen! No Mercy!
Ich hoffe ja noch immer das auf Trampeltier verlass ist und er richtig ernst macht… nur so wachen die Leute hier auf, wenn alles in Trümmern liegt! Dann kann man anfangen sauber wieder aufzubauen… denn das können die Deutschen gut! Auferstehen aus Ruinen. Den anders ändert sich hier nix.
Da wird in Foren Blogs usw. geschrien und gezedert und dann weitergemacht wie bisher.
Je früher das passiert umso besser.
In diesem und auch bei MS war es aber so, dass sich die Unternehmen eben an die Profis gewandt haben und diese gescheitert sind. Also was bitte soll man hier z.B. als KMU lernen?!? Und nein, eine Backup Strategie die den Namen verdient, ist als KMU gar nicht so trivial wie das auf den ersten Blick scheint. Zudem kann man sich nicht in sämtliche Themen einarbeiten!
Cloud: Wenn das Risiko gestreut ist, ist es zwar für den einzelnen vielleicht höher wenn er zum Ziel wird – da nicht die gleichen Möglichkeiten – nicht jedoch zwingend in der Summe über alle gesehen da Klumpenrisiko.