Na quarta-feira(16), a CISA alertou sobre riscos elevados de violação de dados após o comprometimento de servidores antigos da Oracle Cloud no início deste ano e destacou a ameaça significativa para as redes empresariais.
A CISA disse: "a natureza da atividade relatada apresenta um potencial risco para organizações e indivíduos, particularmente onde material de credencial pode estar exposto, reutilizado em sistemas separados, não afiliados, ou embutido (ou seja, hardcoded em scripts, aplicações, templates de infraestrutura, ou ferramentas de automação)", mesmo que "o escopo e o impacto permaneçam não confirmados."
"Quando o material de credencial é embutido, é difícil de descobrir e pode permitir acesso não autorizado de longo prazo se exposto.
O comprometimento de material de credencial, incluindo nomes de usuário, e-mails, senhas, tokens de autenticação e chaves de criptografia, pode representar um risco significativo para ambientes empresariais", acrescentou.
A agência de cibersegurança dos EUA também divulgou orientações para mitigar os riscos ligados ao vazamento de credenciais resultante, instando os defensores de rede a redefinir as senhas dos usuários afetados, substituir credenciais hardcoded ou embutidas por métodos de autenticação seguros, impor autenticação multifator resistente a phishing (MFA) sempre que possível, e monitorar os logs de autenticação para atividades suspeitas.
Este aviso vem após a Oracle confirmar em notificações enviadas por e-mail aos clientes que um ator de ameaça vazou credenciais roubadas do que a empresa descreveu como "dois servidores obsoletos".
Contudo, a Oracle acrescentou que seus servidores Oracle Cloud não foram comprometidos, e o incidente não impactou seus serviços na nuvem ou os dados dos clientes.
A Oracle também reconheceu privadamente em chamadas com alguns de seus clientes que invasores roubaram credenciais antigas de clientes após violarem um "ambiente legado" usado pela última vez em 2017.
No entanto, o hacker por trás da violação postou registros mais novos de 2025 no BreachForums e compartilhou dados do final de 2024.
Confirmou-se separadamente com vários clientes da Oracle que amostras de dados vazadas (incluindo nomes de exibição LDAP, endereços de e-mail, nomes próprios e outras informações identificadoras) recebidas do ator de ameaça eram válidas.
Em março, a empresa de cibersegurança CybelAngel também revelou que a Oracle informou aos clientes que um invasor implantou um web shell e malware adicional em alguns de seus servidores Gen 1 (também conhecido como Oracle Cloud Classic) já em janeiro de 2025.
Até que a violação foi detectada no final de fevereiro, o invasor supostamente roubou dados do banco de dados Oracle Identity Manager (IDM), que incluíam senhas hasheadas, nomes de usuário e e-mails de usuários.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...