Mercredi, la CISA a mis en garde contre les risques accrus de violation après la compromission des serveurs Oracle Cloud hérités plus tôt cette année et a souligné la menace importante pour les réseaux d’entreprise.
CISA a déclaré: » la nature de l’activité signalée présente un risque potentiel pour les organisations et les individus, en particulier lorsque les informations d’identification peuvent être exposées, réutilisées dans des systèmes distincts et non affiliés ou intégrées (c’est-à-dire codées en dur dans des scripts, des applications, des modèles d’infrastructure ou des outils d’automatisation), » même si « la portée et l’impact restent non confirmés. »
« Lorsque le matériel d’identification est intégré, il est difficile à découvrir et peut permettre un accès non autorisé à long terme s’il est exposé. La compromission des informations d’identification, y compris les noms d’utilisateur, les e-mails, les mots de passe, les jetons d’authentification et les clés de cryptage, peut présenter un risque important pour les environnements d’entreprise », a-t-il ajouté.
L’agence américaine de cybersécurité a également publié des directives pour atténuer les risques liés à la fuite d’informations d’identification qui en résulte, exhortant les défenseurs du réseau à réinitialiser les mots de passe des utilisateurs concernés, à remplacer les informations d’identification codées en dur ou intégrées par des méthodes d’authentification sécurisées, à appliquer l’authentification multifacteur (MFA) résistante au phishing dans la mesure du possible et à surveiller les journaux d’authentification pour détecter toute activité suspecte.
Cet avertissement intervient après qu’Oracle a confirmé dans des notifications par e-mail envoyées aux clients qu’un acteur de la menace avait divulgué des informations d’identification volées sur ce que l’entreprise a décrit comme « deux serveurs obsolètes. »
Cependant, Oracle a ajouté que ses serveurs Oracle Cloud n’avaient pas été compromis et que l’incident n’avait eu aucun impact sur ses services cloud ni sur les données de ses clients.
Oracle a également reconnu en privé lors d’appels avec certains de ses clients que des attaquants avaient volé d’anciennes informations d’identification client après avoir violé un « environnement hérité » utilisé pour la dernière fois en 2017. Cependant, le pirate informatique à l’origine de la violation a publié de nouveaux enregistrements à partir de 2025 sur BreachForums et a partagé des données avec Breachtrace à partir de la fin de 2024.
Breachtrace a confirmé séparément auprès de plusieurs clients Oracle que les échantillons de données divulgués (y compris les noms d’affichage LDAP associés, les adresses e-mail, les prénoms et d’autres informations d’identification) reçus de l’auteur de la menace étaient valides.
Fin mars, la société de cybersécurité CybelAngel a également révélé qu’Oracle avait informé ses clients qu’un attaquant avait déployé un shell Web et des logiciels malveillants supplémentaires sur certains de ses serveurs de génération 1 (également connus sous le nom d’Oracle Cloud Classic) dès janvier 2025.
Jusqu’à ce que la violation soit détectée fin février, l’attaquant aurait volé des données de la base de données Oracle Identity Manager (IDM), qui comprenaient des mots de passe hachés, des noms d’utilisateur et des courriels d’utilisateurs.
Le mois dernier, Breachtrace a signalé pour la première fois qu’Oracle avait également émis des notifications privées aux clients concernant une autre violation de janvier chez Oracle Health (une société SaaS anciennement connue sous le nom de Cerner) qui avait eu un impact sur les données des patients dans plusieurs établissements de santé et hôpitaux américains.