Leak publicado em f\u00f3rum<\/figcaption><\/figure>\nA empresa brasileira ZenoX tamb\u00e9m traz pontos interessantes do vazamento. Por exemplo:<\/p>\n
\u201cA estrutura LDAP exibida como amostra cont\u00e9m m\u00faltiplas tags consistentes com implementa\u00e7\u00f5es Oracle Identity Management, incluindo campos como userPassword (com hash vis\u00edvel), objectClass hierarchies e estruturas de diret\u00f3rio espec\u00edficas da Oracle, como cn=Groups e cn=systemIDGroups, bem como refer\u00eancias a tenantGuid, que correspondem ao formato Oracle Cloud. A an\u00e1lise do time da ZenoX preliminar dos padr\u00f5es de hash exibidos na amostra \u00e9 consistente com os algoritmos de hash utilizados em implementa\u00e7\u00f5es Oracle, embora alguns estejam parcialmente ofuscados com asteriscos, presumivelmente para preservar o valor da informa\u00e7\u00e3o completa (…).<\/p>\n
“O vazamento afeta diversas organiza\u00e7\u00f5es de alto perfil, incluindo funcion\u00e1rios da pr\u00f3pria Oracle, bem como colaboradores das maiores empresas do mundo e v\u00e1rias organiza\u00e7\u00f5es de sa\u00fade e internacionais. A maioria dos registros corresponde a usu\u00e1rios finais regulares, mas tamb\u00e9m est\u00e3o expostas contas de administradores que possuem privil\u00e9gios elevados nos sistemas. As informa\u00e7\u00f5es LDAP expostas revelam a estrutura interna do diret\u00f3rio Oracle Cloud, seguindo o padr\u00e3o “cn=[username],cn=users,orclMTTenantGuid=https:\/\/www.tecmundo.com.br\/seguranca\/403580-se-a-oracle-me-pagar-teremos-um-final-feliz-diz-hacker-que-chantageia-empresa.htm,dc=cloud,dc=oracle,dc=com<\/strong>“. A presen\u00e7a dos valores “orclMTTenantGuid” indica uma arquitetura multi-tenant onde as contas de diferentes clientes s\u00e3o logicamente separadas no sistema\u201d.<\/p>\nOracle n\u00e3o est\u00e1 respondendo a imprensa<\/figcaption><\/figure>\nConclus\u00e3o e recomenda\u00e7\u00f5es<\/h3>\n A ZenoX, em sua an\u00e1lise, conclui que \u201ca explora\u00e7\u00e3o da CVE-2021-35587 no Oracle Access Manager representa a hip\u00f3tese mais prov\u00e1vel para este ataque devido \u00e0 sua perfeita correspond\u00eancia com o padr\u00e3o de dados comprometidos, englobando tanto o diret\u00f3rio LDAP quanto o banco de dados de identidades\u201d.<\/p>\n
\u201cEsta vulnerabilidade cr\u00edtica (CVSS 9.8) explica convincentemente como o atacante obteve acesso aos diferentes formatos de hash de senha e \u00e0s poss\u00edveis chaves de descriptografia mencionadas. Por n\u00e3o requerer credenciais iniciais, nem intera\u00e7\u00e3o do usu\u00e1rio, permitindo um ataque remoto direto via HTTP, esta falha possibilita exatamente o tipo de comprometimento observado. O controle total do sistema de identidade resultante da explora\u00e7\u00e3o justifica o acesso a dados entre diferentes tenants e \u00e0s contas “canary” de monitoramento de seguran\u00e7a em m\u00faltiplos ambientes. Enquanto as outras hip\u00f3teses necessitam de m\u00faltiplos ataques coordenados ou acessos privilegiados pr\u00e9vios, esta \u00fanica vulnerabilidade no componente OpenSSO Agent \u00e9 suficiente para explicar a escala e profundidade de todo o comprometimento observado\u201d.<\/p>\n
Recomenda\u00e7\u00f5es para pessoas e empresas que est\u00e3o no suposto vazamento:<\/p>\n
\nAtualiza\u00e7\u00e3o imediata de credenciais para todos os usu\u00e1rios afetados, com implementa\u00e7\u00e3o obrigat\u00f3ria de MFA;<\/li>\n Monitoramento de Threat Intelligence intensificado de atividades suspeitas em contas expostas no vazamento;<\/li>\n Implementa\u00e7\u00e3o de alertas para tentativas de login de localiza\u00e7\u00f5es incomuns ou dispositivos n\u00e3o reconhecidos;<\/li>\n Revis\u00e3o completa das permiss\u00f5es de acesso e implementa\u00e7\u00e3o rigorosa do princ\u00edpio de privil\u00e9gio m\u00ednimo;<\/li>\n Atualiza\u00e7\u00e3o dos sistemas de detec\u00e7\u00e3o para identificar comportamentos an\u00f4malos associados \u00e0s credenciais comprometidas; Atualiza\u00e7\u00e3o urgente do Oracle Access Manager para vers\u00f5es n\u00e3o vulner\u00e1veis \u00e0 CVE-2021-35587, aplicando os patches de seguran\u00e7a fornecidos por Oracle (dispon\u00edveis no Critical Patch Update);<\/li>\n Implementa\u00e7\u00e3o de WAF (Web Application Firewall) com regras espec\u00edficas para bloquear tentativas de explora\u00e7\u00e3o da CVE-2021-35587 e vulnerabilidades similares.<\/li>\n<\/ul>\nO TecMundo <\/strong>continua, de forma indendependente e com a ajuda de fontes seguras, analisando a amostra recebida. Em breve, mais informa\u00e7\u00f5es sobre o caso ser\u00e3o reveladas.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"A Oracle teve os supostos dados de clientes e funcion\u00e1rios vazados em f\u00f3rum cibercriminoso na \u00faltima sexta-feira (20). A alega\u00e7\u00e3o indica que os dados compreendem registros de seis milh\u00f5es de pessoas; o Brasil seria um dos pa\u00edses mais afetados. Para rebater as not\u00edcias iniciais do caso, a Oracle divulgou um posicionamento ao Bleeping Computer no qual nega qualquer tipo de invas\u00e3o em seus sistemas. Por\u00e9m, o caso ganhou novos contornos com supostas provas, imagens e v\u00eddeos que comprovariam o ataque cibern\u00e9tico. O ataque foi realizado por um cibercriminoso conhecido como \u201cRose87168\u201d, que j\u00e1 esteve ligado a outros incidentes cibern\u00e9ticos, como um que envolveu a DHL \u2014 notamos aqui. Para entender mais detalhes sobre a a\u00e7\u00e3o, entrei em contato com a Oracle e busquei informa\u00e7\u00f5es sobre os atingidos. Ao mesmo tempo, fiz contato com o cibercriminoso \u201cRose87168\u201d para entender um pouco mais de seu perfil e se h\u00e1 alguma motiva\u00e7\u00e3o al\u00e9m de dinheiro. Sobre a Oracle, a empresa n\u00e3o est\u00e1 respondendo mais contatos de imprensa, o que costumeiramente tem um significado quando analisamos casos similares: o posicionamento pode mudar em breve. J\u00e1 sobre \u201cRose87168\u201d, conversamos via chat Matrix ap\u00f3s abordagem no X. Rose deixou claro que n\u00e3o gostaria que nosso papo fosse apresentado de modo texto corrido, uma entrevista padr\u00e3o, ou que prints da conversa fossem publicados \u2014 deixando apenas nosso relato sobre o contato. Abordagem inicial com Rose Conversa com um cibercriminoso Diferentemente de outros atacantes com quem costumo conversar em investidas cibern\u00e9ticas em \u2018solo\u2019 brasileiro, Rose n\u00e3o tem qualquer reivindica\u00e7\u00e3o a ser feita ou trabalho hackativista. Relembrando casos como o vazamento recente que envolveu o Banco Neon, o atacante buscava mais reconhecimento em programas de bug bounty no Brasil e, segundo ele, seu foco n\u00e3o era o dinheiro, o que traz essa veia mais hackativista. Rose, pelo contr\u00e1rio, tem uma linha clara: chantagem para ganhar algum dinheiro. O crime pelo ganho. At\u00e9 por isso, o cibercriminoso n\u00e3o deu muito espa\u00e7o ao responder perguntas \u2014 deixando algumas respostas bem vagas. Mesmo assim, consegui estabelecer alguns pontos: \u201cRose87168\u201d \u00e9 um \u201clobo solit\u00e1rio”, n\u00e3o faz parte de nenhum grupo. Ele tamb\u00e9m n\u00e3o recebeu qualquer informa\u00e7\u00e3o \u201cdiscreta\u201d sobre uma suposta vulnerabilidade RCE (execu\u00e7\u00e3o remota de c\u00f3digo) na Oracle \u2014 encontrou sozinho. Tamb\u00e9m nota que a empresa sofreu o vazamento porque n\u00e3o atualizou ou instalou qualquer patch no servidor com a falha. \u201cAp\u00f3s eu encontrar o CVE (Common Vulnerabilities and Exposures, identificador usado para catalogar vulnerabilidades), fiz mais algumas pesquisas e escrevi a PoC (Prova de Conceito, ferramenta que permite identificar erros t\u00e9cnicos)\u201d, disse. Rose entrou em contato com a Oracle duas semanas antes de realizar o vazamento em f\u00f3rum na \u00faltima sexta-feira (20). Segundo ele, a empresa aceitou pagar os US$ 20 milh\u00f5es ou 100 mil XMR (Monero) pedidos como \u201cresgate\u201d. Por\u00e9m, o contato e o aceite da Oracle supostamente aconteceu por meio de um email n\u00e3o oficial. O cibercriminoso comenta que a empresa tomou essa decis\u00e3o porque provavelmente j\u00e1 sabia que n\u00e3o iria pagar ou para fugir de uma poss\u00edvel san\u00e7\u00e3o da GDPR (Regulamento Geral de Prote\u00e7\u00e3o de Dados da Europa, similar \u00e0 LGPD no Brasil). Vou notar aqui, apenas, que a Oracle \u00e9 uma companhia norte-americana \u2014 apenas em casos espec\u00edficos a GDPR se aplicaria. Rose tamb\u00e9m adiciona que a Oracle fez algumas corre\u00e7\u00f5es sobre a vulnerabilidade ap\u00f3s a troca de emails e depois come\u00e7ou a ignor\u00e1-lo. \u201cAp\u00f3s negar o leak, eu penso que usaram emails falsos para n\u00e3o terem qualquer documenta\u00e7\u00e3o de nosso contato\u201d, finalizou. \u201cRose87168\u201d \u00e9 um cibercriminoso com motiva\u00e7\u00e3o direta sem distra\u00e7\u00f5es. Perguntei como est\u00e1 o resultado dessa a\u00e7\u00e3o e ele comentou que j\u00e1 \u00e9 pago por algumas empresas para remover informa\u00e7\u00f5es vazadas em consequ\u00eancia desse ataque. Quantas e quais? N\u00e3o obtive a informa\u00e7\u00e3o. \u201cNo final das contas, se a Oracle me pagar discretamente, teremos um final feliz\u201d, foi sua \u00faltima mensagem. \u201cDe outro modo, vou vender para quem tiver o dinheiro\u201d. Acredito na import\u00e2ncia de perfilar o ator. Isso \u00e9 v\u00e1lido em diversos n\u00edveis e impacta tanto sociedade quanto empresas e autoridades. Fiz dezenas de perguntas voltadas ao perfil de \u201cRose87168\u201d \u2014 eu queria entender mais sobre com quem estava conversando. Todas as minhas perguntas foram respondidas com um largo sorriso. Conversa com Rose Vamos falar sobre a vulnerabilidade At\u00e9 agora, poucas an\u00e1lises mergulharam no caso Oracle. As duas principais s\u00e3o encabe\u00e7adas pela empresa brasileira ZenoX e pela asi\u00e1tica CloudSek, de Singapura. Vou citar abaixo alguns trechos das an\u00e1lises que refor\u00e7am a veracidade do ataque, batendo de frente com o posicionamento inicial da Oracle. Exatamente pelos pontos citados a seguir, continuamos esperando um novo posicionamento da empresa. CloudSek: \u201cEmbora o agente da amea\u00e7a tenha conseguido compartilhar uma lista de amostra de clientes, ele tamb\u00e9m forneceu evid\u00eancias do ataque enviando um arquivo criado em “login.us2.oraclecloud.com” e arquivando a URL p\u00fablica, com o email do invasor dentro do arquivo de texto. O servidor, que parecia ser um servi\u00e7o SSO, estava ativo h\u00e1 aproximadamente 30 dias. Isso est\u00e1 de acordo com as alega\u00e7\u00f5es do atacante de que o servidor alvo foi derrubado pela Oracle algumas semanas antes da viola\u00e7\u00e3o (…). O atacante agora compartilhou uma amostra de 10 mil linhas para comprovar ainda mais suas alega\u00e7\u00f5es. Nossa an\u00e1lise deste conjunto de dados revelou v\u00e1rios insights cr\u00edticos: A amostra sozinha cont\u00e9m dados de mais de 1,5 mil organiza\u00e7\u00f5es; O volume e a estrutura das informa\u00e7\u00f5es vazadas fazem com que seja extremamente dif\u00edcil fabric\u00e1-las; Muitas organiza\u00e7\u00f5es afetadas t\u00eam tenantIDs no formato {tenant}-dev, {tenant}-test e {tenant}, sugerindo fortemente que o Threat Actor tamb\u00e9m obteve acesso a ambientes de produ\u00e7\u00e3o; O conjunto de dados inclui um n\u00famero substancial de endere\u00e7os de email pessoais, provavelmente devido \u00e0s organiza\u00e7\u00f5es que permitem autentica\u00e7\u00e3o baseada em SSO para seus usu\u00e1rios e clientes; Pesquisadores independentes que tamb\u00e9m receberam este arquivo conseguiram verificar a validade do vazamento e confirmar que \u00e9 uma viola\u00e7\u00e3o leg\u00edtima. Ap\u00f3s minha conversa com \u201cRose87168\u201d, pedi que ele enviasse essa amostra ao TecMundo. Ela foi apresentada: conseguimos avaliar e validar as mesmas alega\u00e7\u00f5es da CloudSek. Al\u00e9m disso, novidades sobre o caso devem surgir em breve<\/p>\n","protected":false},"author":1,"featured_media":40324,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[37],"tags":[],"class_list":["post-40323","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/tiproject.online\/index.php\/wp-json\/wp\/v2\/posts\/40323","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tiproject.online\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tiproject.online\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tiproject.online\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tiproject.online\/index.php\/wp-json\/wp\/v2\/comments?post=40323"}],"version-history":[{"count":0,"href":"https:\/\/tiproject.online\/index.php\/wp-json\/wp\/v2\/posts\/40323\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/tiproject.online\/index.php\/wp-json\/wp\/v2\/media\/40324"}],"wp:attachment":[{"href":"https:\/\/tiproject.online\/index.php\/wp-json\/wp\/v2\/media?parent=40323"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tiproject.online\/index.php\/wp-json\/wp\/v2\/categories?post=40323"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tiproject.online\/index.php\/wp-json\/wp\/v2\/tags?post=40323"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![\"26094114889017](\"https:\/\/tm.ibxk.com.br\/2025\/03\/26\/26094114889017.jpg\" "\\"\\"")
![\"26094440746022](\"https:\/\/tm.ibxk.com.br\/2025\/03\/26\/26094440746022.jpg\" "\\"\\"")
![\"26094652796031](\"https:\/\/tm.ibxk.com.br\/2025\/03\/26\/26094652796031.jpg\" "\\"\\"")
![\"26094733937039](\"https:\/\/tm.ibxk.com.br\/2025\/03\/26\/26094733937039.jpg\" "\\"\\"")