[Segurança] A sexta-feira da maldade da Oracle Cloud

Na sexta-feira passada, 21 de março, a comunidade de segurança ficou em estado de alerta por causa de um possível vazamento de dados de clientes do serviço de nuvem da Oracle.

Afinal de contas, quase todo mundo usa a Oracle!

Isso aconteceu porque nesse dia circulou a notícia de que um usuário chamado "rose87168" postou uma mensagem no BreachForums, um fórum underground super popular, anunciando que teria obtido um suposto acesso à informações privilegiadas sobre os clientes da Oracle Cloud. O post foi publicado no fórum no dia anterior, 20/03.

A empresa CloudSEK foi a primeira a reportar esse incidente, em seu blog, que chamou de "o maior ataque à cadeia de suprimentos de 2025". No período da tarde, aqui no Brasil, a notícia circulava em vários grupos de Whatsapp da galera de cibersegurança.

Segundo esse usuário, ele teria obtido informações dos servidores de login do serviço de nuvem da Oracle  (login.{nome_da_região}.oraclecloud.com) e obteve cerca de 6 milhões de dados confidenciais de clientes, incluindo credenciais de Single-Sign-On (SSO) e LDAP, além de outros tipos de senhas e chaves de clientes. No post ele compartilhou uma lista de vítimas ("company list"), um trecho de exemplo da base LDAP e da base de dados roubada.

Segundo a lista de domínios de vítimas do vazamento, compartilhada pelo criminoso, a quantidade de empresas afetadas beira os 140 mil.

A CloudSEK publicou uma ferramenta gratuita para verificar se sua organização está na lista de vítimas compartilhada pelo atacante: https://exposure.cloudsek.com/oracle.

Se a sua empresa está na lista de vítimas, ou não, vale revisar toda a segurança do seu ambiente na Oracle Cloud:

• troque credenciais e chaves de acesso;
• revise as permissões de acesso;
• instale os patches de segurança mais recentes;
• monitore o seu ambiente.

O criminoso está leiloando os dados roubados, oferecendo a base pelo melhor preço. Ele também convidou as empresas afetadas pelo suposto vazamento que o procurem, pois ele está cobrando um determinado valor para retirar os dados da empresa dessa base, antes de vazá-la.

Segundo a CloudSEK e a Orca Security, o criminoso explorou uma vulnerabilidade crítica no Oracle Access Manager, a CVE-2021-35587.

A Oracle negou categoricamente que o incidente tenha ocorrido.

Em resposta a negativa da Oracle, o ator rose87168 tem publicado novas evidências de seu ataque, incluindo um arquivo plantado dentro da Oracle Cloud. E vários portais de notícia declararam que empresas reconheceram a veracidade dos dados expostos no sample que o ator disponibilizou.

Segundo análise da empresa Zenox, o Brasil aparece como o segundo país mais impactado pelo vazamento, com 4.387 domínios listados no arquivo de vítimas (combinando .com.br e .br). O domínio .com, lidera essa lista de vítimas, com 79.227 domínios identificados.

A Trustwave publicou um post bem legal, onde detalhou as características e riscos dos dados vazados, além de listar os domínios mais citados no sample:

Em 31 de março foi aberto um processo contra a Oracle Corporation por negligência e quebra de contrato por sua suposta falha em proteger adequadamente seus sistemas e notificar os clientes em tempo hábil (veja a íntegra, em PDF).  O processo, de nível federal, foi aberto na corte do Distrito Oeste do Texas e busca status de ação coletiva. Ele tem como alvo as violações de segurança relatadas na Oracle Cloud e na Oracle Health e exige danos, custos e promessas da Oracle para proteger melhor seus clientes, dados e computadores.

Eu fiz um mapeamento dos TTPs baseado no framework Mitre ATT&CK, pois ele é muito útil para entendermos os passos do atacante rumo ao comprometimento e quais as medidas que podem ser tomadas para evitar que isso aconteça e remediar o incidente. Obviamente isso é baseado em muitas suposições, pois os detalhes do ataque não foram compartilhados pelo atacante nem pela Oracle (que continua se fazendo de louca, negando o ataque).

Veja a seguir os principais passos que supostamente aconteceram e a como fica a matriz do Mitre ATT&CK.

Esses foram os prováveis passos do "rose87168" antes e durante o ataque à Oracle Cloud, baseado no pouco que sabemos ou que se especula sobre o incidente:

• Descoberta de uma forma de explorar a vulnerabilidade CVE-2021-35587
• Mapeamento dos servidores Oracle Access Manager vulneráveis a CVE-2021-35587 no serviço Oracle Cloud
• Exploração da vulnerabilidade CVE-2021-35587 nos endpoints da Oracle “login.(region-name).oraclecloud.com”
• Obtenção de acesso com conta privilegiada graças a vulnerabilidade CVE-2021-35587
• Execução de comandos no sistema comprometido (Oracle Access Manager)
• Possível criação de conta local
• Movimentação lateral, buscando servidores com informações sensíveis, incluindo servidores de banco de dados, servidores de gestão de identidade e acesso (IAM), de armazenamento de arquivos e LDAP
• Listagem de dados do servidor LDAP
• Acesso a base de dados da Oracle Cloud
• Extração dos dados (não se sabe como ele exfiltrou essas informações)
• Extorsão :(

Aplicando na Matriz do Mitre ATT&CK baseada nos passos acima, usando a ferramenta ATT&CK Navigador, ficamos assim:

Esse mapeamento nos permite ter uma visão do passo-a-passo de como o incidente ocorreu, além de nos mostrar que há lacunas que precisam ser explicadas para compreendermos esse incidente.

Na quinta-feira repercutiu uma notícia publicada pela Bloomberg na véspera (02/04) dizendo que a Oracle havia admitido, para alguns clientes, que o vazamento ocorreu. A empresa também afirmou que a investigação do caso está nas mãos do FBI e da CrowdStrike:

This week, Oracle staff acknowledged to some clients that an attacker had gotten into what the company called a “legacy environment,” according to the people. The company informed customers that the system hasn’t been in use for eight years and that the stolen client credentials therefore pose little risk, the people said.

Oficialmente, ainda não há uma confirmação pública por parte da Oracle.

Essa falta de posicionamento oficial da Oracle é uma postura lamentável, um triste mal exemplo de como se posicionar frente a um incidente de tamanha severidade. Uma lamentável falta de transparência. Essa postura é amplamente criticada pela comunidade e já gerou comentários tais como:

• "Manifesto Malufista Negar sim, negar sempre, negar como nunca, continuar negando"
• "Time de negação de incidentes apoiado pelo NIST CSF que menciona o seguinte: 'Só sofre incidente quem abre o EDR'."
• "Oracle are attempting to wordsmith statements around Oracle Cloud and use very specific words to avoid responsibility. This is not okay. Oracle need to clearly, openly and publicly communicate what happened, how it impacts customers, and what they’re doing about it. This is a matter of trust and responsibility. Step up, Oracle — or customers should start stepping off." (fonte)

Em uma reportagem de hoje, 09/04, o portal Bleeping Computer notificou que a Oracle enviou uma comunicação oficial confirmando o incidente. Segundo a Oracle, o vazamento ocorreu em "dois servidores obsoletos" e seus servidores da "Oracle Cloud Infrastructure" (OCI) não foram comprometidos e que este incidente não impactou os dados dos clientes nem os serviços em nuvem.

Para saber mais:

• Relatórios da CloudSEK:
• The Biggest Supply Chain Hack Of 2025: 6M Records Exfiltrated from Oracle Cloud affecting over 140k Tenants
• Part 2: Validating the Breach Oracle Cloud Denied – CloudSEK’s Follow-Up Analysis
• Ferramenta online: https://exposure.cloudsek.com/oracle
• Oracle Cloud Breach Exploiting CVE-2021-35587: How to Protect Your Organization
• Oracle denies breach after hacker claims theft of 6 million data records
• Oracle Cloud says it's not true someone broke into its login servers and stole data
• There are 10,000 reasons to doubt Oracle Cloud's security breach denial
• Resumo produzido pela Apura: Possível comprometimento da Oracle Cloud preocupa executivos de cibersegurança
• A Zenox produziu um relatório beeeeem detalhado sobre o caso:
• Análise técnica do suposto vazamento que teria comprometido 6 milhões de contas corporativas
• Novos dados do incidente Oracle
• Análise da SOC Radar: Everything You Need to Know About Oracle Cloud Security Incident by rose87168
• Análise da Clavis: Suposto ataque à infraestrutura da Oracle Cloud
• Trustwave SpiderLabs Threat Review: Alleged Oracle Compromise
• Oracle hack: Customers confirm stolen data is real
• Security Firms Say Evidence Seems to Confirm Oracle Cloud Hack
• Oracle customers confirm data stolen in alleged cloud breach is valid
• Suposto hack na Oracle gera polêmica
• Sobre a vulnerabilidade que provavelmente foi explorada para invadir a Oracle (CVE 2021-35587):
• CVE 2021-35587 (NIST)
• CVE 2021-35587 (cve.org)
• Oracle Critical Patch Update Advisory - January 2022
• Reportagem da Tecmundo, que entrevistou o ator Rose87168: ‘Se a Oracle me pagar, teremos um final feliz’, diz hacker que chantageia empresa
• Resumão do Caveiratech: Clientes da Oracle CONFIRMAM dados roubados
• Oracle attempt to hide serious cybersecurity incident from customers in Oracle SaaS service
• Oracle Cloud security SNAFU latest: IT giant accused of pedantry as evidence scrubbed
• Processo aberto contra a Oracle (PDF): Case 1:25-cv-00477 Filed 03/31/25
• Vazamento da Oracle é real e expôs clientes, apontam novos indícios
• Oracle Cloud Users Urged to Take Action
• Hacker linked to Oracle Cloud intrusion threatens to sell stolen data
• Oracle continues to deny breach, tries to hide evidence
• Oracle faces Texas-sized lawsuit over alleged cloud snafu and radio silence
• Oracle Reports Data Breach, Citing Hacker Access to Legacy System
• Oracle (ORCL) Tells Clients of Second Recent Hack, Log-in Data Stolen - matéria relevante da Bloomberg, mas que deixa claro que a Oracle só admitiu o incidente em conversa privada com alguns clientes;
• Oracle Confirms Breach: Hackers Stole Client Login Credentials - triste exemplo de matéria sensacionalista. A Oracle não confirmou oficialmente. A matéria foi escrita no dia 08/04 e cita a reportagem do Bleeping Computer da semana anterior, publicada em 02/04, que diz claramente que a Oracle se manifestou somente em conversa privada com alguns clientes;
• Reportagem que tem um bom resumão de toda a treta: Oracle privately notifies Cloud data breach to customers
• Saiu o posicionamento oficial da Oracle: Oracle says "obsolete servers" hacked, denies cloud breach

PS: Post atualizado em 25, 26, 27 e 28/03, atualizado novamente em 01/04 (não foi piada!), 02, 05, 08/04 e hoje, 09/04.

PS/2: A Oracle precisa se benzer:

• Oracle Health breach compromises patient data at US hospitals :(
• Oracle Health Breach Affects Patients of Multiple U.S. Multiple Hospitals