Indice dei contenuti
- L’hacker “rose87168” e la rivendicazione shock
- La risposta ufficiale di Oracle: “nessuna violazione”
- Le indagini dei ricercatori: CloudSEK e Kudelski
- Le possibili conseguenze: un disastro annunciato?
- Cosa fare adesso: prudenza e monitoraggio
L’hacker “rose87168” e la rivendicazione shock
Il 21 marzo 2025 un post anonimo su un forum underground ha scatenato il panico nel mondo della cyber security: un utente con lo pseudonimo rose87168 ha dichiarato di aver bucato l’endpoint di login della Oracle Cloud (login.[region-name].oraclecloud.com), ottenendo accesso a file JKS, password SSO criptate, hash LDAP e chiavi JPS.
Non solo: l’attore ha affermato di aver messo in vendita 6 milioni di record, offrendo incentivi a chi lo aiutasse a decriptare le password SSO o a craccare quelle LDAP.
Il presunto bottino coinvolgerebbe oltre 140.000 tenant Oracle Cloud. Una cifra impressionante, se confermata, che delineerebbe uno dei peggiori attacchi supply-chain del 2025.
La risposta ufficiale di Oracle: “nessuna violazione”
La reazione di Oracle è stata rapida e categorica. In una dichiarazione diffusa ai media, l’azienda ha smentito ogni accusa:
“Non c’è stata alcuna violazione di Oracle Cloud. Le credenziali pubblicate non appartengono a Oracle Cloud. Nessun cliente Oracle Cloud ha subito una violazione o perdita di dati.”
Nonostante la fermezza delle parole, Oracle non ha pubblicato dettagli tecnici né aggiornamenti pubblici sul suo sito ufficiale. Tuttavia, è interessante notare che il sottodominio login.us2.oraclecloud.com, citato dall’hacker, è offline dal 21 marzo. Coincidenza o mossa precauzionale?
Le indagini dei ricercatori: CloudSEK e Kudelski
A mettere ulteriore pressione sulla versione di Oracle sono arrivati i risultati delle indagini di CloudSEK, società specializzata in threat intelligence, che ha analizzato i dati pubblicati.
Secondo i loro esperti, le informazioni trafugate proverrebbero effettivamente dall’ambiente Oracle Cloud e l’attacco potrebbe essere avvenuto tramite una vulnerabilità non divulgata in Oracle WebLogic o Access Manager, usati nei meccanismi di login. Il sospettato principale?
Il CVE-2021-35587, una falla critica che permette l’accesso completo a un sistema SSO vulnerabile.
Anche Kudelski Security Research ha pubblicato un advisory indipendente confermando l’ipotesi di un attacco mirato alla componente WebLogic, sottolineando la presenza di una piattaforma Oracle Fusion Middleware 11g non aggiornata nei sistemi coinvolti.
Le possibili conseguenze: un disastro annunciato?
Se i dati risultassero autentici, l’impatto sarebbe devastante. L’esfiltrazione di credenziali e file crittografici sensibili apre scenari di accessi non autorizzati, spionaggio industriale e violazioni a catena. Le password SSO e hash LDAP, se decifrati, potrebbero compromettere l’intero ecosistema IT di molte aziende.
La natura federata di Oracle Cloud, usata per l’accesso a migliaia di ambienti enterprise, moltiplica i rischi. Un singolo breach potrebbe propagarsi lungo la supply chain, coinvolgendo applicazioni e sistemi interconnessi.
Intanto, su Reddit, diversi esperti della community r/blueteamsec hanno suggerito di ruotare le credenziali e implementare l’autenticazione multifattore nei propri ambienti, anche in assenza di conferme ufficiali.
Cosa fare adesso: prudenza e monitoraggio
In attesa di ulteriori sviluppi, ecco cosa possono fare i responsabili della sicurezza informatica per contenere eventuali danni:
- monitorare con attenzione tutte le attività sospette nei propri ambienti cloud;
- aggiornare le password e applicare la multi-factor authentication (MFA);
- controllare se le proprie credenziali sono state compromesse usando strumenti come quelli di CloudSEK.
Nel dubbio, meglio prevenire che curare. In un’epoca in cui le violazioni cloud sono sempre più frequenti, la sicurezza dei dati aziendali non può più essere lasciata al caso.
