Nagyszabású hekkertámadás érhette az Oracle-t, sok magyar cég is érintett lehet

Egy hekker azt állítja, hogy feltörte az Oracle belső rendszerét, és rengeteg adatot töltött le onnan – írja a CloudSEK. A támadást a cég XVigil rendszere vette észre. A „rose87168” nevű felhasználó március 20-án posztolt arról a legnépszerűbb dark web fórumon, hogy eladásra kínál egy állítása szerint 6 millió rekordot tartalmazó adatbázist – tudta meg a Telex Fodor Dénestől, a White Hat IT Security nevű kiberbiztonsági cég kutatójától.

Az adatbázis a hekker által kiadott képernyőképek alapján JKS- és JPS-fájlokat is tartalmaz – előbbi az izgalmasabb, mert az ilyen fájlokat Java rendszerek használják biztonsági kulcsok tárolására. Rose87168 azt állítja, hogy az Oracle Cloud SSo rendszer végpontjait kompromittálva jutott hozzá az adatokhoz, és ezt a már említett képekkel támasztaná alá, sőt, még egy fájlt is elhelyezett az egyik ilyen végponton, ami a WayBack Machine-nel visszanézhető. Itt láthatja a március elsején archivált oldalképet, de magát az oldalt azóta leszedték.

Azt a hekker nem árulta el, hogy pontosan hogyan fért hozzá a lelopott adatokhoz, de független szakértők szerint egy régebbi, kritikus sebezhetőséget, a CVE-2021-35587-et használta ki, ami az Oracle Access Managert érinti. Ez a sebezhetőség 2022 decembere óta ismert.

Fodor szerint a rose87168 által megosztott, majdnem kétórás videón az látható, ahogy az Oracle belső rendszerén tevékenykedik – és az alapján úgy tűnik, mintha egy dolgozói gépen keresztül férne hozzá a rendszerhez. Ezt a gépen található Zoom, Slack és nyitva hagyott Word, valamint más irodai szoftverek sejtetik. Emellett az is látszik, hogy belső, üzemeltetési dokumentációkat is olvasgat.

A kiberbiztonsági szakember hozzátette, hogy ugyan a támadó új felhasználó a fórumon (a fiókot márciusban regisztrálta), nem ismert a kiberbiztonsági előélete és nincs nagyobb hírneve, de amit bizonyítékként megosztott, az alátámasztani látszik az állításait. Rose87168 egy listát is közzétett, amin az érintett cégek szerepelnek, ezek között 317 .hu-ra végződő domain is van. Tehát mindenképp van sok magyar érintettsége a történetnek, bár nem tudni, mekkora, hiszen van olyan hazai cég, ami .com végződést használ.

A Forbes szerint összesen 140 ezer Oracle-ügyfél kerülhetett veszélybe, köztük a Mol, a Telekom, a 4iG, az OTP, a Budapest Bank (ami már a Magyar Bankholding része), a MÁV Informatika, az Index, az Opten, valamint a Digitális Állampolgársághoz tartozó alkalmazást fejlesztő Idomsoft is.

A 4iG egyébként cikkünk megjelenése után jelezte, hogy a cégcsoport már korábban tudomást szerzett az incidensről, az azonnali belső vizsgálatuk pedig azt állapította meg, hogy a támadás a 4iG Csoport és tagvállalatai által kezelt ügyféladatokat nem érintette.

Az Opten is jelezte, hogy egyik érintett terméket sem használja, csak egy próbahozzáférés miatt kerülhetett fel a listára, de ez semmilyen kapcsolatban nem áll az éles szolgáltatási- vagy háttérrendszerével.

Az Oracle a nemzetközi sajtó és a Forbes megkeresésére is tagadta, hogy adatvédelmi incidens történt volna náluk, a Telekom és az OTP későbbre ígért választ, az Idomsofttól pedig azt a választ kapta a Forbes, hogy tudnak az esetről, és már fel is vették a kapcsolatot az Oracle-lel, ahonnan megnyugtató választ kaptak. Azt írták, hogy elvégezték a saját vizsgálataikat is, és a jelenlegi információk szerint tőlük nem került ki adat.

„Fontos megjegyezni, hogy bár belépési adatok érintettek, ez nem egyértelműen jelenti azt, hogy az érintett cégek üzleti adatai vagy a cégek ügyfeleinek adatai is szivárogtak ki”

– írta Fodor Dénes a Telexnek, hozzátéve, hogy az eddig ismert információk alapján belépési információk és kulcsfájlok szivároghattak ki.

A szakértő szerint akkor is szerepelhet egy cég a listán, ha amúgy nem használja üzletszerűen az Oracle felhőszolgáltatását, de egyszer regisztrált egy fiókot tesztjelleggel, vagy egy beszállítója használja a cég ilyen szolgáltatását.

A hekker Rose87168 egy X-fiókot is csinált, ahol bekövetett néhány érintett céget és kiberbiztonsági elemzőt. Itt több olyan cikket is megosztott, amik azt taglalják, hogy az Oracle tagadása ellenére rengeteg bizonyíték arra utal, hogy történt valami, sőt, március 25-én jelezte a Registernek és egy ott megjelent cikk írójának, hogy nem 200, hanem 20 millió dollárnyi kriptót kér az Oracle-től, hogy visszaadja az adatokat. Az ügyben küldtünk kérdést az Oracle sajtóosztályának. Ha érdemben válaszolnak, frissítjük a cikket.

A cikket a megjelenés után frissítettük a 4iG reakciójával.