-
09/04/2020
-
95
-
757 bài viết
6 triệu dữ liệu người dùng rò rỉ từ Oracle Cloud do bị khai thác lỗ hổng
Oracle đã âm thầm thông báo đến một số khách hàng rằng một môi trường đám mây cũ đã bị tin tặc xâm nhập. Mặc dù hệ thống này đã ngừng sử dụng từ 2017, nhưng dữ liệu từ 2024 - 2025 vẫn bị đánh cắp, bao gồm: LDAP, tên người dùng, email, mật khẩu băm (hashed passwords)... từ hệ thống Oracle Identity Manager (IDM).
Cách tấn công: Khai thác lỗ hổng Java từ năm 2020, cài web shell và mã độc trên các máy chủ Oracle Gen 1 Cloud Classic.
Tin tặc sử dụng bí danh rose87168 đã đăng tải cơ sở dữ liệu gồm 6 triệu bản ghi người dùng lên một diễn đàn hacker nổi tiếng, trong đó có dữ liệu LDAP, tên đăng nhập, mật khẩu đã băm (hashed passwords), và địa chỉ email,... được cho là thu thập từ hệ thống Oracle Identity Manager (IDM).
Hiện CrowdStrike và FBI đang điều tra vụ việc, được cho là có liên quan đến việc khai thác một lỗ hổng Java từ năm 2020 để triển khai web shell và phần mềm độc hại trên các máy chủ Oracle Gen 1 Cloud Classic.
CISA lưu ý rằng tuy quy mô thật sự của vụ rò rỉ chưa được xác nhận, nhưng nó có thể đe dọa đến các tổ chức và cá nhân, đặc biệt khi các thông tin đăng nhập này được tái sử dụng ở các hệ thống không liên quan, hoặc được nhúng vào script, ứng dụng, mẫu hạ tầng hoặc công cụ tự động hóa. Việc bị lộ thông tin đăng nhập (bao gồm tên người dùng, email, mật khẩu, token xác thực và khóa mã hóa) có thể gây rủi ro lớn cho môi trường doanh nghiệp.
Tin tặc có thể khai thác thông tin bị rò rỉ để:
Đối với tổ chức:
Cách tấn công: Khai thác lỗ hổng Java từ năm 2020, cài web shell và mã độc trên các máy chủ Oracle Gen 1 Cloud Classic.
Tin tặc sử dụng bí danh rose87168 đã đăng tải cơ sở dữ liệu gồm 6 triệu bản ghi người dùng lên một diễn đàn hacker nổi tiếng, trong đó có dữ liệu LDAP, tên đăng nhập, mật khẩu đã băm (hashed passwords), và địa chỉ email,... được cho là thu thập từ hệ thống Oracle Identity Manager (IDM).
Hiện CrowdStrike và FBI đang điều tra vụ việc, được cho là có liên quan đến việc khai thác một lỗ hổng Java từ năm 2020 để triển khai web shell và phần mềm độc hại trên các máy chủ Oracle Gen 1 Cloud Classic.
CISA lưu ý rằng tuy quy mô thật sự của vụ rò rỉ chưa được xác nhận, nhưng nó có thể đe dọa đến các tổ chức và cá nhân, đặc biệt khi các thông tin đăng nhập này được tái sử dụng ở các hệ thống không liên quan, hoặc được nhúng vào script, ứng dụng, mẫu hạ tầng hoặc công cụ tự động hóa. Việc bị lộ thông tin đăng nhập (bao gồm tên người dùng, email, mật khẩu, token xác thực và khóa mã hóa) có thể gây rủi ro lớn cho môi trường doanh nghiệp.
Tin tặc có thể khai thác thông tin bị rò rỉ để:
- Leo thang đặc quyền và di chuyển ngang trong hệ thống mạng
- Truy cập các hệ thống đám mây và quản lý danh tính
- Thực hiện tấn công phishing, credential stuffing, BEC
- Bán quyền truy cập trên các chợ đen
- Kết hợp với các dữ liệu khác cho chiến dịch tấn công có mục tiêu
Đối với tổ chức:
- Đặt lại mật khẩu bị ảnh hưởng, đặc biệt nếu không dùng hệ thống quản lý danh tính tập trung
- Kiểm tra và thay thế các thông tin xác thực bị nhúng trong script, template bằng hệ thống quản lý bí mật an toàn
- Theo dõi log đăng nhập để phát hiện truy cập bất thường, nhất là đối với tài khoản đặc quyền hoặc liên kết liên miền
- Áp dụng xác thực đa yếu tố (MFA) kháng phishing nếu có thể
- Thay đổi ngay các mật khẩu đã dùng lại ở nhiều nơi và bật MFA chống phishing
- Sử dụng mật khẩu mạnh, riêng biệt cho từng dịch vụ
- Cẩn trọng với email/phishing giả mạo cảnh báo đăng nhập hoặc yêu cầu đặt lại mật khẩu
Theo Security Online