في 21 آذار- 2025، اكتشف فريق XVigil التابع لشركة CloudSEK جهة تهديد تُدعى “rose87168″، تعرض للبيع 6 ملايين سجل مسرب من SSO وLDAP الخاصين بــ Oracle Cloud. هل يعني ذلك اختراق أوراكل ؟ قد يكون الحدث صحيحاً. وخصوصاً أن البيانات المسربة تتضمن ملفات JKS، وكلمات مرور SSO مُشفرة، وملفات رئيسة، وموارد enterprise manager JPS keys. على الرغم من عدم وجود سجل سابق للجهة المُهددة، إلا أن أساليبها تُشير إلى درجة عالية من التطور، بشكل يمكن اعتباره شديد الخطورة.
نفت شركة أوراكل ادعاءات الاختراق، حيث زعم أحد القراصنة الوصول إلى 6 ملايين سجل سحابي. وأفادت CloudSEK عن ثغرة أمنية محتملة في اليوم صفر تؤثر على 140 ألف من الأفراد والمؤسسات المشتركين في خدماتها السحابية. يفترض أن تشمل هذه الخدمات الأجهزة الافتراضية، والتخزين.
اختراق أوراكل – الطرف الثالث
كشف تحقيق حديث أجرته منصة XVigil التابعة لشركة CloudSEK عن هجوم إلكتروني استهدف Oracle Cloud، مما أدى إلى تسريب ستة ملايين سجل، وربما أثر على أكثر من 140 ألف عميل. وأفادت التقارير أن جهة تهديد، تُعرف باسم “rose87168″، هي من نفذت هذا الهجوم الذي تضمن سرقة بيانات حساسة، بما في ذلك ملفات JKS، وكلمات مرور SSO مشفرة، وملفات رئيسة، ومفاتيح JPS لإدارة المؤسسات، والتي تُباع الآن على منتديات Breach ومنتديات أخرى على الويب المظلم.
يدّعي المهاجم، النشط منذ كانون الثاين 2025، أنه اخترق نطاقاً فرعياً login.us2.oraclecloud.com، والذي أُغلق منذ ذلك الحين. وتبيّن أن هذا النطاق الفرعي يستضيف Oracle Fusion Middleware 11G، كما يتضح من تسجيل Wayback Machine بتاريخ 17 شباط-2025. ويطالب المهاجمون بفدية من العملاء المتضررين مقابل حذف بياناتهم، بل وعرضوا المساعدة في فك تشفير كلمات مرور SSO وLDAP المسروقة.
يشير تحليل CloudSEK لحادثة اختراق أوراكل المحتملة، إلى أن الجهة الفاعلة في التهديد ربما تكون قد اخترقت إصداراً ضعيفاً من خوادم Oracle Cloud، مستغلةً بذلك ثغرة أقدم، CVE-2021-35587، والتي تؤثر على Oracle Fusion Middleware (OpenSSO Agent) مع تحديد الإصدارات المتأثرة التالية: 11.1.2.3.0 – 12.2.1.3.0 و 12.2.1.4.0.
اختراق أوراكل – إدارة التصحيحات الأمنية
هذه الثغرة الأمنية التي سمحت باختراق أوراكل، كانت قد أضيفت إلى دليل الثغرات الأمنية المعروفة المُستغلة (CISA KEV) في كانون الأول-2022، تسمح للمهاجمين غير المُصادق عليهم باختراق Oracle Access Manager، مما قد يؤدي إلى منحهم سيطرة كاملة على ضحاياهم. يتوافق ذلك، مع نوع البيانات المُستخرجة والمُشاركة من قِبل المهاجم. قد يسمح للمهاجمين باستغلالها للوصول الأولي إلى البيئة ثم الانتقال أفقياً داخل بيئة Oracle Cloud للوصول إلى أنظمة وبيانات أخرى. كشفت تحقيقات إضافية أن مخدم Oracle Fusion Middleware قد تم تحديثه آخر مرة في حوالي 27 – أيلول-2014، مما يشير إلى أن البرنامج قديم.
وبسبب نقص ممارسات إدارة التصحيحات وضعف أمان البرمجة، استغلّت الجهة الفاعلة في التهديد الثغرة في Oracle Fusion Middleware. تسمح هذه الثغرة، التي يسهل استغلالها، لمهاجم غير مُصادق عليه يتمتع بإمكانية الوصول إلى الشبكة عبر HTTP باختراق Oracle Access Manager، وهو ما أشار إليه باحثو CloudSEK في منشور مدونة نُشر حصرياً على Hackread.com.
مع ذلك، أصدرت Oracle بياناً تنفي فيه أي خرق لبنيتها التحتية السحابية. حيث أكدت أنه لم يحدث أي اختراق للخدمات السحابية من أوراكل. وكذلك أن بيانات الاعتماد المنشورة ليست خاصة بأوراكل. وأن أي من عملاء أوراكل لم يتعرض لأي اختراق أو فقدان لأي بيانات، وفقاً لما ذكرته أوراكل رداً على التقارير بهذا الخصوص. وهو ما يتناقض بشكل مباشر مع نتائج CloudSEK وادعاءات المهاجم.
مع ذلك، في حال حدوث اختراق أوراكل فعلاً، قد يكون تأثيره كبيراً، إذ إن كشف ستة ملايين مشترك سيزيد من خطر الوصول غير المصرح به والتجسس المؤسسي. ويُعدّ تسريب ملفات JKS أمراً مثيراً للقلق بشكل خاص، إذ تحتوي هذه الملفات على مفاتيح تشفير، يمكن استخدامها لفك تشفير بيانات حساسة أو الوصول إلى أنظمة أخرى داخل المؤسسات المتضررة. علاوة على ذلك، قد يؤدي اختراق كلمات مرور SSO وLDAP المشفرة إلى المزيد من الاختراقات في بيئات Oracle Cloud. كما يثير استخدام ثغرة يوم الصفر (Zero-day) مخاوف بشأن أمن Oracle Cloud.
توصي CloudSEK بالمراجعة الفورية لبيانات الاعتماد، وتفعيل الاستجابة الشاملة للحوادث والاستعانة بالطب الشرعي الرقمي لقياس الضرر بالتوازي مع المراقبة المستمرة لمعلومات التهديدات، والتعاون مع Oracle Security للتحقق منها والحد منها. كما تنصح بتعزيز ضوابط الوصول لمنع وقوع حوادث مستقبلية.
معالجة الاختراق
في ضوء احتمالية اختراق أوراكل، نُنصح الشركات بتغيير كلمات المرور فوراً والتأكد من استخدام كلمات مرور قوية. كما يُنصح بتفعيل المصادقة متعددة العوامل (MFA) لمزيد من الأمان. ينبغي على الشركات التحقيق في الاختراق من خلال فحص الأنظمة بحثاً عن أي علامات وصول غير مصرح بها وإصلاح أي نقاط ضعف. يمكن أن تُساعد مراقبة منتديات القراصنة في تتبع ما إذا كانت معلوماتهم معروضة للبيع هناك.
كلمة أخيرة
يُسلّط اختراق بيانات Oracle Cloud الضوء على الحاجة إلى تدابير أمنية سيبرانية فعّالة. على الشركات التي تستخدم Oracle Cloud التحرّك بسرعة لحماية أنظمتها وبياناتها. تُعد التحقيقات مهمة أيضاً، إذ يُعدّ سد أي ثغرات أمنية أمراً أساسياً لتجنب المزيد من الهجمات. تُذكّر هذه الحادثة بأهمية التحلّي باليقظة في عالمنا الرقمي اليوم، حيث تتزايد التهديدات السيبرانية تعقيداً.
