据威胁情报公司CloudSEK披露，有攻击者入侵Oracle Cloud，窃取600万条敏感身份验证记录，可能导致逾14万企业客户面临风险。目前攻击者正在暗网论坛兜售被盗数据并索要赎金。

CloudSEK旗下XVigil团队的安全研究人员于2025年3月21日发现此次入侵，当时发现一名别名为"rose87168"的攻击者正在出售从Oracle Cloud单点登录（SSO）和轻量目录访问协议（LDAP）系统窃取的海量记录。

失窃数据包含Java密钥库(JKS)文件、加密SSO密码、密钥文件以及企业管理器Java平台安全(JPS)密钥等关键安全组件——这些均是Oracle Cloud环境内身份验证与访问控制的核心要素。

CloudSEK调查显示，攻击者宣称通过利用公司登录端点漏洞侵入Oracle Cloud，具体攻击目标为子域名login.us2.oraclecloud.com。尽管该子域名截至2025年2月17日仍在运行，但其搭载的软件组件版本已严重过时。

"攻击者通过针对关键认证基础设施展现了高超技术能力，"CloudSEK在报告中指出，"他们不仅出售数据，还公开招募解密专家协助破解被盗密码，显示出这是一次有组织、持续性的威胁行动。"

甲骨文官方否认存在数据泄露："Oracle Cloud并未遭到入侵，被公开的凭证不属于Oracle Cloud系统，所有客户数据均未失窃。"公司发言人如此回应。

已知漏洞遭利用

调查显示此次攻击利用了CVE-2021-35587漏洞。该高危漏洞存在于Oracle Access Manager系统，早在2022年12月就被美国网络安全与基础设施安全局（CISA）列入已知被利用漏洞目录。报告补充说明，此漏洞允许未经身份验证的攻击者通过HTTP网络访问完全控制Oracle Access Manager实例。

数字取证证据表明，被入侵服务器运行的是Oracle Fusion Middleware 11G，其组件最后更新时间为2014年9月——距今已逾十年。滞后的补丁管理为攻击者提供了可乘之机。

"由于缺乏补丁管理机制和/或存在不安全编码，攻击者成功利用了Oracle Fusion Middleware的漏洞，"CloudSEK报告强调，"该漏洞极易被利用，未经认证的攻击者通过HTTP网络访问即可入侵Oracle Access Manager，成功利用将导致OAM系统完全沦陷。”

报告提及，攻击者曾向某新闻机构透露，其利用的是"存在公开CVE但尚未发布概念验证(PoC)或漏洞利用代码的Oracle Cloud服务器漏洞版本"。

互联网存档记录显示，截至2025年2月，被攻击子域名仍在运行Oracle Fusion Middleware 11G，这与关键基础设施应及时更新安全补丁的标准安全实践严重背离。

商业影响与风险

令人不安的是，攻击者已启动勒索计划，联系受影响企业要求支付赎金以将其数据从失窃库中删除。这迫使受害企业面临财务压力，并需就支付赎金问题做出复杂的法律与道德抉择。

为向甲骨文及受害企业施压，攻击者已在社交媒体平台X（原Twitter）建立阵地，关注多个甲骨文相关账号，并威胁若赎金要求未获满足将扩大事件曝光度。

化名"rose87168"的黑客在X平台发文称："受影响企业可联系我公开验证其数据是否源自Oracle Cloud，通过验证者数据将从待售库中移除。"

鉴于潜在受害租户超过14万，此次泄露事件具有重大供应链影响——失窃的认证机制可能使攻击者在关联企业与系统间横向渗透，这种连锁效应将导致破坏范围呈几何级数扩大。

建议缓解措施

CloudSEK为潜在受影响企业制定了全面应对策略。

报告建议："首要任务是立即重置所有LDAP用户账户密码，特别要关注租户管理员等具备系统广泛访问权限的特权账户。"

安全团队应实施强化认证控制，包括多因素认证与增强型密码策略。此举可降低攻击者最终破解失窃加密密码后实施凭证复用的风险。

报告同时强调，企业必须重新生成并替换所有受影响证书，包括与受损LDAP配置相关的SSO、SAML或OIDC密钥。此类加密措施对重建认证机制可信度至关重要。

"此次攻击的复杂性凸显出云环境安全（尤其是认证系统）面临的持续挑战，"CloudSEK在报告中警示，"使用Oracle Cloud服务的企业应将此视为需立即响应的重大安全事件，无论是否已收到直接入侵通知。"