美國CISA示警Oracle雲端事件恐致認證資料外洩風險攀升

美國網路安全暨基礎設施安全局（CISA）於 4 月 16 日就 Oracle 舊版雲端主機遭駭事件發布警告，指出相關企業網路正面臨更高的資安威脅。

CISA 表示，儘管目前仍在評估事件的完整影響範圍，但此類資安事件可能對組織和個人構成重大風險。這些風險在以下情況特別顯著：認證資料遭外洩、在多個系統中重複使用，或嵌入程式碼中（例如腳本、應用程式、基礎設施模板或自動化工具）。

CISA 進一步指出，嵌入於程式碼中的認證資料不僅難以追蹤，一旦遭洩露更可能造成長期的未授權存取風險。這類認證資料包括使用者帳號、電子郵件、密碼、驗證權杖及加密金鑰等，若遭竊取將對企業環境安全造成嚴重威脅。

為降低認證資料外洩風險，CISA 建議資安防護人員採取以下措施：重設所有受影響用戶密碼、將程式碼中的硬編碼認證資料替換為安全的身分驗證機制、導入具防釣魚功能的多因子驗證（MFA）系統，以及持續監控驗證紀錄中的異常活動。

此警告是在 Oracle 透過電子郵件向客戶證實事件後發布的。駭客組織從該公司「兩台過時伺服器」竊取並外洩認證資料。不過，Oracle 強調其 Oracle Cloud 雲端伺服器並未遭入侵，此資安事件也未影響其雲端服務或客戶資料。

Oracle 後來在與部分客戶的私下通話中承認，駭客入侵了「最後使用於 2017 年的舊系統環境」並竊取舊有的客戶登入憑證。值得注意的是，該駭客在駭客論壇 BreachForums 上發布 2025 年的最新紀錄，同時向海外資安新聞網站提供 2024 年底的資料。多家 Oracle 客戶已向外媒證實駭客分享的資料樣本確屬真實，其中包含 LDAP 顯示名稱、電子郵件和姓名等個人識別資訊。

三月下旬，資安情報公司 CybelAngel 揭露，Oracle 已向客戶通報：攻擊者於 2025 年 1 月在多部第一代 Oracle Cloud Classic 伺服器植入網頁後門（web shell）及其他惡意程式。在二月下旬發現此資安事件前，攻擊者已自 Oracle Identity Manager（IDM）資料庫竊取經雜湊處理（hashed）的密碼、使用者帳號及電子郵件等資料。

本文轉載自 BleepingComputer。