Bir kullanıcı, popüler bir forumda, Oracle’dan çalındığını iddia ettiği 140.000’den fazla Oracle Cloud kullanıcısına ait verileri satışa çıkardığını duyurdu. “rose87168” takma adını kullanan saldırgan, toplamda 6 milyon satır veri elde ettiğini, bunlar arasında SSO (Tek Oturum Açma) kimlik bilgileri ve LDAP parolalarının bulunduğunu iddia etti. Ancak, bu parolaların şifreli olduğunu ve henüz kırmayı başaramadığını belirtti.
Oracle ise bu iddiaları yalanladı. Şirketten bir sözcü, “Oracle Cloud’a herhangi bir sızma olmadı. Yayınlanan kimlik bilgileri Oracle Cloud’a ait değil. Oracle Cloud müşterileri herhangi bir ihlal yaşamadı ve veri kaybı söz konusu değil.” şeklinde açıklama yaptı.
CloudSEK: Oracle Sistemi Gerçekten İhlal Edildi
Ancak siber güvenlik firması CloudSEK, saldırganın iddialarını analiz ettikten sonra Oracle Cloud’un gerçekten saldırıya uğramış olabileceğini öne sürdü. Araştırmacılara göre saldırgan, Oracle Cloud’un giriş sisteminde (login.us2.oraclecloud.com) bulunan bir güvenlik açığından yararlanarak yetkisiz erişim sağladı. Saldırının Oracle Fusion Middleware’i etkileyen CVE-2021-35587 gibi bilinen bir Oracle ürün güvenlik açığından yararlanarak gerçekleştirilebileceğine inanılıyor.
CloudSEK, saldırganın çaldığını iddia ettiği veriler arasında OAuth2 anahtarları, SSO kimlik bilgileri, LDAP parolaları ve kiracı (tenant) verileri bulunduğunu belirtti. Ayrıca, hackerın çalınan parolaları kırmak için başkalarından yardım istediği ve şirketlere baskı yaparak fidye talep etmeyi planladığı bildirildi.
Hacker’dan Oracle’a Karşı Hamle
Oracle’ın reddinin ardından saldırgan, sosyal medya platformu X’te Oracle Cloud sistemlerine bir metin dosyası yükleyebildiğini gösteren bir bağlantı paylaştı. Dosya Oracle tarafından kaldırılmış olsa da, 1 Mart’ta Wayback Machine aracılığıyla bir kopyasının alındığı ortaya çıktı.
CloudSEK, saldırganın bir sıfır gün (zero-day) açığı veya OAuth2 kimlik doğrulama sürecinde bir yanlış yapılandırma kullanmış olabileceğini düşünüyor.
Şüpheler Devam Ediyor
Oracle’ın açıklamalarıyla çelişen bu bulgular, şirketin henüz tespit edemediği bir ihlalin yaşanmış olabileceği ihtimalini gündeme getiriyor. Ayrıca, saldırganın gerçekten Oracle Cloud’dan veri mi sızdırdığı, yoksa üçüncü bir taraf üzerinden mi erişim sağladığı da net değil.
Hunter Strategy’de IANS Research ve Ar-Ge Başkan Yardımcısı öğretim üyesi Jake Williams, “Oracle her ne kadar reddetse de, tehdit aktörünün aktif olarak kullanılan bir giriş sunucusuna veri yükleyebildiğine dair doğrudan kanıt var. Bu nedenle, olayın eski bir sistemle ilgili olduğu iddiası inandırıcı değil.” dedi.
Sonuç olarak, Oracle ve CloudSEK’in açıklamaları arasında büyük bir çelişki var. Oracle olayın tamamen sahte olduğunu iddia ederken, güvenlik araştırmacıları saldırının gerçek olduğunu öne süren ciddi kanıtlar sunuyor. Önümüzdeki günlerde ortaya çıkacak yeni gelişmeler, olayın gerçek boyutunu daha net gösterebilir.
Diğer yazılarımıza buradan ulaşabilirsiniz.
Leave a Comment