Brèche : Oracle confirme en privé auprès de ses clients

[Mise à jour, le 3 avril 2025 @18h45] Le Français CybelAngel l’évoquait en ce premier avril : « Oracle a communiqué aux parties prenantes un incident de sécurité concernant ses serveurs Gen 1 ». En outre, « Oracle aurait déterminé un attaquant qui se trouvait dans le service d’identité partagée dès janvier 2025 ».

Dans le détail, l’intrusion « a été facilitée par un exploit Java 2020 et le pirate a pu installer un webshell ainsi qu’un logiciel malveillant. Le logiciel malveillant a spécifiquement visé la base de données Oracle IDM et a pu exfiltrer des données. Oracle aurait eu connaissance d’une violation potentielle à la fin du mois de février et aurait enquêté sur ce problème en interne ».

Qui plus est, « en l’espace de quelques jours, Oracle aurait été en mesure de supprimer l’acteur lorsque la première demande de rançon a été faite au début du mois de mars. Avant que l’attaquant ne rende l’affaire publique, Oracle aurait pris des mesures pour contenir la brèche et renforcer la sécurité autour des serveurs concernés ».

Bloomberg semble avoir reçu des échos cohérents avec ce récit, précisant que l’environnement compromis n’était plus utilisé depuis 2017. Selon nos confrères, Oracle a alerté le FBI et sollicité CrowdStrike pour enquêter sur l’incident.

Selon Bleeping Computer, le pirate paraît néanmoins disposer de données datant de la fin 2024 et de 2025.

[Article original, le 27 mars 2025] L’histoire commence en fin de semaine dernière. Un individu utilisant le pseudonyme de « rose87168 » affirme avoir compromis l’infrastructure d’authentification SSO avec fédération d’identités d’Oracle Cloud. 

Rose87168 revendique l’extraction de données d’authentification relatives à environ 6 millions d’utilisateurs, tout en précisant : « les mots de passe SSO sont chiffrés, mais peuvent être décryptés avec les fichiers disponibles. Et les condensats de mots de passe peuvent être crackés ». Une liste de noms de domaines de clients a été partagée par le pirate. Elle en contient plus de 1 500 en .fr. Selon nos informations, les noms de domaines de la liste ne correspondent pas tous à des clients effectivement actifs.

Le pirate ne s’est pas contenté de cela : il a fait archiver, le 1^er mars, une page sur un serveur d’authentification d’Oracle Cloud qu’il avait préalablement modifiée pour faire apparaître son adresse e-mail. Le 24 mars, il a ajouté à cela une vidéo présentée comme prouvant ses allégations.

Répondant à nos confrères de Bleeping Computer, Oracle l’a néanmoins assuré : « il n’y a pas eu de violation d’Oracle Cloud. Les informations d’identification publiées ne concernent pas Oracle Cloud. Aucun client d’Oracle Cloud n’a été victime d’une violation ou n’a perdu de données ».

Mais nos confrères ont présenté, à des clients d’Oracle Cloud, des échantillons de données les concernant, fournis par Rose87168. Lesquels ont confirmé leur authenticité : « les entreprises ont déclaré que les noms d’affichage LDAP, les adresses électroniques, les prénoms et les autres informations d’identification étaient tous corrects et leur appartenaient ».

Les équipes de CloudSEK ont de leur côté relevé que le serveur en question, à l’adresse « login.us2.oraclecloud.com » se revendiquait, mi-février, être une instance Oracle Fusion Middleware 11g avec un copyright daté de 2009.

Ce serveur a été vu pour la dernière fois par Onyphe.io le 12 mars 2025. Dans ses données apparaissent toutefois d’autres dates de copyright : 2013 et 2024. Pour trouver la mention d’un copyright daté 2009, il faut remonter au balayage du 24 février dernier, lors duquel le serveur faisait état d’une date de dernière modification au 27 septembre 2014.

Les équipes de CloudSEK relèvent qu’Oracle Fusion Middleware a connu une vulnérabilité critique affectant Oracle Access Manager, la CVE-2021-35587, déclarée activement exploitée en décembre 2022. Rose87168 a assuré à Bleeping Computer l’avoir exploitée.

De son côté, Germán Fernández, chercheur chez CronUp, fait état « d’au moins 14 autres serveurs » liés à Oracle Cloud présentant les mêmes indications chronologiques. Au moins deux d’entre eux sont inaccessibles au moment de publier ces lignes.