La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) ha emitido una recomendación prioritaria luego de informar el acceso no autorizado a los entornos de la nube de Oracle Legacy.
Si bien las disputas de Oracle reclaman una violación importante, CISA advierte que los incidentes pueden representar un riesgo significativo tanto para las organizaciones como para las personas, especialmente si los materiales de calificación sensibles pueden estar expuestos o reutilizados en múltiples sistemas.
Sospecha de violación de Oracle Cloud
La alerta sigue a un informe de los actores de amenaza que operan bajo el alias “Rose87168”, que afirmó haber excluido aproximadamente 6 millones de registros de los sistemas de protocolo de inicio de sesión único (SSO) y de directorio liviano (LDAP) de Oracle Cloud del 21 de marzo de 2025.
Según los informes, estos registros contienen datos de autenticación confidenciales, incluidos los archivos de la tienda de claves Java (JKS), las contraseñas SSO cifradas y las claves de seguridad de la plataforma Java (JPS) de Enterprise Manager que pueden afectar a más de 140,000 organizaciones de inquilinos.
Los investigadores dijeron que los atacantes usaron mal CVE-2021-35587. Esta es una vulnerabilidad crítica en el componente Oracle Access Manager de Oracle Fusion Middleware que permite a los atacantes no autenticados con acceso a la red a través de HTTP tener control total sobre el sistema.
Según los informes, el servidor comprometido alojó Oracle Fusion Middleware 11G, que no se ha actualizado desde septiembre de 2014, según investigadores de seguridad.
“Las credenciales comprometedoras como los nombres de usuario, los correos electrónicos, las contraseñas, los tokens de autenticación y las claves de cifrado pueden representar un riesgo significativo para su entorno empresarial”, dijo CISA en su aviso.
La agencia advirtió que los actores de amenaza armarían rutinariamente tales calificaciones, aumentarían los privilegios, se moverían de lado dentro de la red, accederían a sistemas en la nube, ejecutarán campañas de phishing y venderán datos robados en el mercado del crimen.
CrowdStrike y el FBI investigaron un incidente que involucra la implementación de shells y malware web en el servidor Cloud Classic de Oracle Gen 1.
A pesar de la negación oficial de la violación de Oracle, los investigadores de seguridad presentaron evidencia adicional en apoyo de las reclamaciones de compromiso, diciendo que “supusieron que el actor explotó una vulnerabilidad o concepto erróneo de día cero en el proceso de certificación OAUTH2”.
Recomendaciones de CISA
La CISA describió varias estrategias de mitigación para organizaciones que pueden verse afectadas por violaciones.
Restablece las contraseñas para todos los usuarios afectados conocidos en todos los servicios empresariales. Verifique el código fuente y los archivos de configuración para las credenciales codificadas. Implementar una solución de gestión secreta centralizada. Monitorea registros de autenticación para actividad anormal. Implementaremos la autenticación multifactorial (MFA) para la resistencia al phishing.
Para los usuarios individuales, CISA recomienda que actualice inmediatamente las contraseñas que pueden verse afectadas, especialmente las reutilizadas en toda la plataforma, implementan contraseñas únicas de fuertes, implementan MFA cuando estén disponibles y se mantengan atentos a los intentos de phishing para referirse a problemas de inicio de sesión y restablecer la contraseña.
“Si las credenciales están integradas, es difícil de descubrir y, si se publica, puede permitir un acceso no autorizado a largo plazo”, señaló CISA, destacando ciertas preocupaciones sobre las credenciales codificadas para scripts, aplicaciones y plantillas de infraestructura.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
