Oracle piraté ? Pourquoi la revendication est crédible

Oracle a-t-il échoué à maintenir en condition de sécurité certains de ses serveurs d'authentification ?

Divers éléments le suggèrent. En toile de fond, la revendication d'un piratage. La semaine dernière, un certain rose87168 a effectivement affirmé avoir dérobé des données concernant environ 6 millions d'utilisateurs. Au menu, en particulier, des informations d'authentification, dont des mots de passe SSO chiffrés, des keystores Java et des clés Enterprise Manager.

Parallèlement à sa revendication, l'intéressé avait expliqué avoir pris contact, début mars, avec les équipes de sécurité d'Oracle. Qui auraient accepté son aide pour corriger le problème... sans accéder à sa demande de compensation financière.

De quel problème parle-t-on au juste ? Possiblement de la présence, sur les serveurs en question, d'une vulnérabilité logicielle (CVE-2021-35587). Connue depuis des années, elle touche Oracle Fusion Middleware. Plus précisément trois versions anciennes de la brique Access Manager (11.1.2.3.0, 12.2.1.3.0 et 12.2.1.4.0), au niveau de l'agent SSO. Elle peut entraîner une compromission - et éventuellement une prise de contrôle - par des utilisateurs non authentifiés. Avec, entre autres conséquences potentielles, l'exfiltration de données sensibles.

Au moins un de ces serveurs - aujourd'hui hors ligne - utilisait une version vulnérable d'Access Manager. Tout du moins si on en croit une capture d'écran relayée par ledit rose87168 quelques jours après la revendication. Elle paraît témoigner de sa capacité à téléverser des contenus (ici, un fichier avec une adresse ProtonMail).

Une revendication crédible à plus d'un titre

Il n'y a pas eu de violation de sécurité (breach) d'Oracle Cloud, assure, aux dernières nouvelles, le groupe américain. Aucun client n'a perdu de données, ajoute-t-il notamment.

Tout dépend dans quel sens on entend l'idée de "perdre" des données. Mais en tout cas, les constats de certains clients donnent du crédit aux déclarations de l'attaquant. Ils se sont en effet retrouvés dans des échantillons communiqués par ce dernier. Les utilisateurs qui y figurent existent bien dans leur annuaire, les identifiants de locataires correspondent, etc. Et des environnements de production sont concernés.

L'endpoint vulnérable n'avait, semble-t-il, pas été mis à jour depuis septembre 2014. Il apparaît d'autant plus authentique que de multiples dépôts de code et documentations y font référence.

L'attaquant a mis en ligne une liste des organisations touchées. Il leur propose de négocier, contre une "somme spécifique", la suppression de leurs données avant publication. Dans le même temps, il recherche une assistance au déchiffrement des mots de passe SSO.

oracle denied ?
Companies affected by the breach can contact me to publicly verify if their data originates from Oracle Cloud, and I'll remove it from my dataset slated for sale.@FedEx @Chase @PayPal @Cloudflare @Fortinet @nytimes
Company list https://t.co/E48Q8D0Qce

- rose87168 (@rose87168) March 22, 2025

Illustration