{"id":309888,"date":"2025-03-27T23:41:54","date_gmt":"2025-03-27T22:41:54","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=309888"},"modified":"2025-03-29T01:15:51","modified_gmt":"2025-03-29T00:15:51","slug":"oracle-hack-durch-unternehmen-bestaetigt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/03\/27\/oracle-hack-durch-unternehmen-bestaetigt\/","title":{"rendered":"Oracle-Hack durch Unternehmen best\u00e4tigt – 6 Millionen Daten erbeutet?"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Noch ein kleiner Nachtrag von dieser Woche. Vor einigen Tagen kam mir bereits auf X die Meldung unter, dass das US-Unternehmen Oracle gehackt worden sei. Oracle bestreitet als Unternehmen einen Hack. Aber Unternehmen, die in den vom Hacker erbeuteten Daten von Oracle\u00a0 aufgelistet sind, best\u00e4tigen, dass dort von ihnen benutzte Daten gefunden wurden. Der Hack k\u00f6nnte, so zutreffend, viele Oracle-Kunden treffen. Hier ein Abriss, was bisher bekannt ist.<\/p>\n

<\/p>\n

Ger\u00fcchte \u00fcber Oracle Hack seit 21. M\u00e4rz 2025<\/h2>\n

\"\"Mir sind bereits vor einer Woche Ger\u00fcchte \u00fcber einen Hack des US-Unternehmens Oracle auf X in Tweets untergekommen. Ein Bedrohungsakteur mit dem Alias rose87168 gab an, in die Oracle-Cloud-Server eingedrungen zu sein und Daten abgefischt zu haben. Der Angreifer gab an,\u00a0Authentifizierungsdaten und verschl\u00fcsselten Passw\u00f6rter von 6 Millionen Benutzern erbeutet zu haben.<\/p>\n

\"Daten<\/a>
\nPost zum Oracle-Hack; Quelle: Bleeping Computer<\/p>\n

Weiterhin behauptete der Bedrohungsakteur, dass gestohlene SSO- und LDAP-Passw\u00f6rter mithilfe der Informationen in den gestohlenen Dateien entschl\u00fcsselt werden k\u00f6nnten (siehe obiger Screenshot). Er bot an, einige der Daten mit jedem zu teilen, der bei ihrer Wiederherstellung helfen k\u00f6nnte. Dazu hatte er mehrere Textdateien einer Beispieldatenbank mit LDAP-Informationen ver\u00f6ffentlicht. Dazu gab es eine Liste der Unternehmen, deren LDAP-Informationen angeblich von der SSO-Plattform von Oracle Clouds gestohlen wurden.<\/p>\n

Ich hatte dies wegen sp\u00e4rlicher Informationen nicht aufgegriffen. Auch weil die Kollegen von Bleeping Computer im Beitrag Oracle denies breach after hacker claims theft of 6 million data records<\/a> ein Statement von Oracle thematisiert hatten. Der US-Hersteller bestritt seinerzeit, dass ein Hack stattgefunden habe.<\/p>\n

Nein, doch, oh! Oracle wohl doch gehackt<\/h2>\n

Inzwischen muss Oracle wohl zur\u00fcckrudern, denn Oracle-Kunden haben gegen\u00fcber Bleeping Computer best\u00e4tigt, dass sie in den ver\u00f6ffentlichten Beispielen eigene Daten gefunden haben, die von der SSO-Plattform der Oracle Cloud stammen. Die Kollegen von Bleeping Computer haben es gestern im Beitrag Oracle customers confirm data stolen in alleged cloud breach is valid<\/a> aufgegriffen.<\/p>\n

Angeblich sind LDAP-Daten und eine Liste von 140.621 Dom\u00e4nen von Unternehmen und Regierungsbeh\u00f6rden von der angeblich Sicherheitsverletzung betroffen. Der Bedrohungsakteur versucht diese Daten nun in Untergrundforen zu verkaufen.<\/p>\n

Bleeping Computer gibt an, dass mehrere ungenannt bleiben wollende Unternehmen erkl\u00e4rt h\u00e4tten, dass sie in den Datens\u00e4tzen LDAP-Anzeigenamen, E-Mail-Adressen, Vornamen und andere identifizierende Informationen gefunden haben, die alle korrekt seien und zum Unternehmen geh\u00f6ren.<\/p>\n

Erg\u00e4nzung:<\/strong> Sicherheitsforscher Alon Gal hat 10.000 Datens\u00e4tze vom Hacker erhalten und begonnen<\/a>, diese mit Unternehmen abzugleichen. Unternehmen best\u00e4tigen die Echtheit der Daten.<\/p>\n

Bleeping Computer liegen vom Bedrohungsakteur auch Mails vor, die dieser mit der Oracle-Adresse secalert_us@oracle.com<\/em> ausgetauscht hat. Weiterhin verf\u00fcgt die Redaktion auch \u00fcber angebliche Antwort-Mails von Oracle, wobei nicht verifizierbar ist, ob das alles stimmt.<\/p>\n

Weitere Informationen zum Hack<\/h2>\n

In nachfolgendem Tweet<\/a> gibt ein Sicherheitsforscher bereits zum 24. M\u00e4rz 2025 einige Details preis. Er schreibt, dass rose87168 behauptet, die Schwachstelle CVE-2021-35587<\/a>\u00a0im Oracle Access Manager von Oracle Fusion Middleware (im OpenSSO Agent)\u00a0 verwendet habe, um den Server login[.]us2[.]oraclecloud[.]com zu kompromittieren.<\/p>\n

\"Oracle<\/a><\/p>\n

Oracle leugnete daraufhin den Angriff, trennte aber schnell die Verbindung des Servers zum Internet (wahrscheinlich um Nachforschungen anzustellen). Der Sicherheitsforscher schreibt: \"Das Problem ist, dass Oracle mindestens 14 weitere Server unter *.oraclecloud[.]com mit der gleichen verwundbaren Version hat, die der Angreifer erw\u00e4hnt hat.\" Das sieht alles nicht wirklich so gut aus.<\/p>\n

Die Cyber-Security-Firma Cloud-Seek hat bereits am 21. M\u00e4rz 2025 im Beitrag The Biggest Supply Chain Hack Of 2025: 6M Records Exfiltrated from Oracle Cloud affecting over 140k Tenants<\/a> eine Reihe an Informationen und Details ver\u00f6ffentlicht und den Beitrag zum 27. M\u00e4rz 2025 aktualisiert). So findet sich dort der obige Screenshot des Bedrohungsakteurs sowie weiteres Material von \"rose87168\".<\/p>\n

Die erbeutete Datenbank soll 6 Millionen Datens\u00e4tze enthalten, die aus Oracle Clouds SSO und LDAP stammen. In den Datens\u00e4tzen wurden JKS-Dateien, verschl\u00fcsselte SSO-Passw\u00f6rter, Schl\u00fcsseldateien, Enterprise Manager JPS-Schl\u00fcssel etc. gefunden.<\/p>\n

Die Liste der betroffenen Mandanten umfasst mehr als 140.000 Eintr\u00e4ge (darunter wohl Adidas, Nike, Mastercard, Visa etc.), und der Bedrohungsakteur fordert die Unternehmen aus der Liste auf, sich mit ihm in Verbindung zu setzen. Ziel sei es, dass die Unternehmen und eine bestimmte \"Geb\u00fchr\" zahlen, damit ihre Daten aus der Datenbank entfernt werden.<\/p>\n

Besonders brisant sind die Informationen, dass die Oracle Fusion Middleware Server laut fofa zuletzt am \"Sat, 27 Sep 2014\" aktualisiert wurden. Die Oracle Fusion Middleware hatte eine kritische Sicherheitsl\u00fccke CVE-2021-35587, die Oracle Access Manager (OpenSSO Agent) betrifft. Diese wurde im Dezember 2022 in die CISA KEV (Known Exploited Vulnerabilities) aufgenommen.<\/p>\n

Im Beitrag The Biggest Supply Chain Hack Of 2025: 6M Records Exfiltrated from Oracle Cloud affecting over 140k Tenants<\/a> finden sich weitere Details und auch Vorschl\u00e4ge, was Unternehmen, die Opfer geworden sind, tun k\u00f6nnen.\u00a0Auch Orca-Security hat das Thema in diesem Beitrag<\/a> aufgegriffen und schl\u00e4gt vor, die \"Oracle Cloud mit der Orca-Plattform\" abzusichern.<\/p>\n

Anmerkung: Oracle sagt, wenn ich es bei Bleeping Computer richtig gelesen habe, dass die Daten nicht aus OCI (steht f\u00fcr Oracle Cloud Infrastructure) stammen. Im Screenshot des Hackers (siehe oben) wird aber behauptet, dass die traditionellen Oracle-Server \u00fcber login.(region-name).oraclecloud.com<\/em>\u00a0<\/em>gehackt wurden.\u00a0Hier gibt es f\u00fcr mich eine gewisse Unsicherheit, denn OCI scheint mir nicht die oben erw\u00e4hnte \"traditionelle\" Oracle Cloud zu sein. Ob die Ausf\u00fchrungen in diesem heise-Kommentar<\/a> stichhaltig sind, vermag ich nicht zu beurteilen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Noch ein kleiner Nachtrag von dieser Woche. Vor einigen Tagen kam mir bereits auf X die Meldung unter, dass das US-Unternehmen Oracle gehackt worden sei. Oracle bestreitet als Unternehmen einen Hack. Aber Unternehmen, die in den vom Hacker erbeuteten Daten … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-309888","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/309888","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=309888"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/309888\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=309888"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=309888"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=309888"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}