-
▼
2025
(Total:
437
)
-
▼
marzo
(Total:
157
)
-
Telegram supera los mil millones de usuarios
-
Cómo un exploit de la NSA se convirtió en el orige...
-
¿Qué es JPEG XL?
-
¿Qué son los shaders y por qué debes esperar antes...
-
Neurodatos: qué son y por qué son el futuro
-
¿Qué es un ASIC?
-
Calibre 8.1 mejora su compatibilidad con macOS e i...
-
Alcasec vendió datos sensibles de 130.000 policías...
-
Hackean un proveedor de SMS y lo utilizan para rob...
-
Filtración masiva de 6 millones registros de Oracl...
-
Vulnerabilidades críticas en Veeam Backup e IBM AIX
-
IngressNightmare: vulnerabilidades críticas del co...
-
El 87% de lo usuarios hace copias de seguridad, pe...
-
Vulnerabilidad crítica en Next.js
-
Hacker antigobierno hackea casi una decena de siti...
-
Google confirma que el desarrollo de Android pasar...
-
Ubuntu 25.04 beta ya disponible, con GNOME 48 y Li...
-
Anthropic asegura haber descubierto cómo ‘piensan’...
-
ChatGPT, Gemini y Claude no pueden con un test que...
-
Amazon presenta ‘Intereses’ una IA que caza oferta...
-
Microsoft rediseña el inicio de sesión para que te...
-
¿Qué significa «in the coming days»? la tendencia ...
-
Por culpa de Trump, empresas y gobiernos europeos ...
-
Signal es seguro… hasta que invitas a un periodist...
-
ChatGPT puede crear imágenes realistas gracias al ...
-
Evolución del menú de inicio de Windows en casi 3...
-
Gemini 2.5 Pro es el “modelo de IA más inteligente...
-
DeepSeek presenta un nuevo modelo de IA optimizado...
-
Samsung y Google tienen casi listas sus gafas con ...
-
⚡️ NVMe sobre TCP/IP
-
🇰🇵 Corea del Norte se prepara para la ciberguerr...
-
🇨🇳 Los creadores de Deepseek tienen prohibido ir...
-
Microsoft usará agentes autónomos de IA para comba...
-
EU OS: La nueva alternativa Linux comunitaria para...
-
China presenta un arma capaz de cortar cualquier c...
-
Historia de Apple
-
Microsoft le dice a los usuarios de Windows 10 que...
-
ReactOS el «Windows de código abierto», se actualiza
-
Denuncia a OpenAI después de que ChatGPT le acusar...
-
💾 Seagate presenta un disco duro mecánico con int...
-
🤖 Claude ya permite buscar en internet para obten...
-
Meta AI llega finalmente a Europa, integrando su c...
-
Francia rechaza la creación de puertas traseras en...
-
🤖Cómo saber si una imagen o vídeo ha sido generad...
-
OpenAI presenta dos nuevos modelos de audio para C...
-
El cofundador de Instagram revela a lo que se dedi...
-
Vigilancia masiva con sistemas de posicionamiento ...
-
Las 20 mejores herramientas de Kali Linux para 2025
-
Cómo instalar Stable Diffusion (para generar imáge...
-
La primera versión de Kali Linux de 2025
-
Marruecos: más de 31,000 tarjetas bancarias divulg...
-
Modo Dios en Android Auto
-
Google anuncia el Pixel 9a, con funciones de IA, e...
-
Europa fuerza a Apple a abrir su ecosistema y acus...
-
La App Contraseñas de Apple fue durante tres meses...
-
Adiós, Photoshop: Gemini ahora te permite editar i...
-
Microsoft alerta de un troyano que desde Chrome ro...
-
Llevan meses explotando una vulnerabilidad de Chat...
-
Teclado que no utiliza letras, sino palabras compl...
-
La GPU se une a los discos duros basados en PCIe: ...
-
Un ciberataque compromete 330 GB de datos confiden...
-
NVIDIA presenta los modelos de razonamiento de IA ...
-
La mítica marca Española de calzado J´Hayber vícti...
-
La RAE confirma haber sufrido un ataque de ransomware
-
NVIDIA BlackWell RTX PRO 6000 con 96 GB de VRAM y ...
-
China construye una base submarina a 2 km de profu...
-
Los creadores de Stable Diffusion presentan una IA...
-
Utilizan una vulnerabilidad crítica en dispositivo...
-
Vulnerabilidad de suplantación en el Explorador de...
-
NVIDIA Isaac GR00T N1, la primera IA de código abi...
-
Campaña de Phishing: "Alerta de seguridad" FALSA e...
-
🔈Amazon Echo: o cedes tus datos y privacidad a la...
-
Descifrador del ransomware Akira mediante GPU
-
Google compra Wiz por 32.000 millones de dólares, ...
-
Una nueva técnica envía sonido a una persona espec...
-
GIMP 3: ya puedes descargar la nueva versión del e...
-
“Hackearon mi teléfono y mi cuenta de correo elect...
-
Generar imágenes mediante IA con Stable Diffusion
-
Steve Wozniak alerta del uso de la IA como «herram...
-
La IA de código abierto iguala a los mejores LLM p...
-
Grupo Lazarus de Corea del Norte hizo el mayor rob...
-
El FBI y CISA alertan ante el aumento de los ataqu...
-
Android 16 incluirá Battery Health
-
SteamOS para PC, la alternativa a Windows
-
Venden acceso total a red de gasolineras de México...
-
Ransomware Akira cifró los datos desde una cámara ...
-
ASUS anuncia monitores con purificador de aire inc...
-
Facebook, Instagram y Threads empiezan a probar la...
-
Texas Instruments crea el microcontrolador más peq...
-
Algunas impresoras están imprimiendo texto aleator...
-
Deep Research, la herramienta de Gemini que convie...
-
La nueva versión de Visual Studio Code te permite ...
-
Las descargas de LibreOffice se disparan con el re...
-
China anuncia una nueva tecnología que permite ver...
-
Google anuncia Gemma 3: su nueva IA ligera para di...
-
Gemini puede usar tu historial de Google para dart...
-
MySQL Replication (Master-Slave)
-
Advierten sobre Grandoreiro, troyano brasileño que...
-
Retan a ChatGPT y DeepSeek a jugar al ajedrez y lo...
-
Una actualización de HP deja inservibles a sus imp...
-
-
▼
marzo
(Total:
157
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Entradas populares
-
La Comisaría General de Información sostiene en el juzgado 50 de Madrid, que investiga los hechos, que el robo habría sido efectuado por A... -
La creciente tensión entre la Unión Europea y Estados Unidos tras la segunda asunción de Donald Trump podría impactar a las principales pr... -
Un grupo de atacantes ha aprovechado una vulnerabilidad activa en ChatGPT desde enero para inyectar enlaces maliciosos y acceder a informaci...
Filtración masiva de 6 millones registros de Oracle Cloud
El pasado jueves 20 de marzo, un atacante conocido como rose87168 publicó varios archivos de texto que contenían una base de datos de muestra, información LDAP y una lista de las empresas que, según afirmaba, fueron robadas de la plataforma SSO de Oracle Cloud.
Oracle niega haber sufrido la vulneración de datos después de que un atacante afirmara vender 6 millones de registros de datos presuntamente robados de los servidores de inicio de sesión único (SSO) federados de Oracle Cloud y que afectarían a más de 140.621 organizaciones. Entre los registros se encuentran cientos de dominios de América Latina.
"No se ha producido ninguna vulneración de datos en Oracle Cloud. Las credenciales publicadas no corresponden a Oracle Cloud. Ningún cliente de Oracle Cloud sufrió una vulneración ni perdió datos", declaró la compañía.
Como prueba adicional de que tenía acceso a los servidores de Oracle Cloud, el atacante compartió una URL de Internet Archive que indica que subió un archivo .TXT con su dirección de correo electrónico de ProtonMail al servidor login.us2.oraclecloud.com.
Presunta filtración de datos de Oracle
rose87168 ahora vende los datos presuntamente robados del servicio SSO de Oracle Cloud por un precio no revelado o a cambio de exploits de Zero-Day. Afirma que los datos (incluidas las contraseñas SSO cifradas, los archivos del almacén de claves Java (JKS), los archivos de claves y las claves JPS del administrador empresarial) fueron robados tras hackear los servidores de Oracle login.(region-name).oraclecloud.com.
"Las contraseñas SSO están cifradas y se pueden descifrar con los archivos disponibles. También se pueden descifrar las contraseñas con hash LDAP", afirma rose87168. "Enumeraré los dominios de todas las empresas incluidas en esta filtración. Las empresas pueden pagar una cantidad específica para eliminar la información de sus empleados de la lista antes de que se venda".
También han ofrecido compartir algunos de los datos con cualquiera que pueda ayudar a descifrar las contraseñas SSO o descifrar las contraseñas LDAP.
El actor de amenazas declaró que obtuvo acceso a los servidores de Oracle Cloud hace unos 40 días y afirmó haber enviado un correo electrónico a la empresa tras exfiltrar datos de las regiones de nube US2 y EM2. rose87168 afirmó haber solicitado a Oracle el pago de 100.000 XMR por información sobre cómo vulneraron los servidores, pero la empresa supuestamente se negó a pagar tras solicitar "toda la información necesaria para la corrección y el parche".
Actualización: 25 de marzo de 2025
El actor de amenazas ha compartido una muestra de 10.000 líneas para fundamentar aún más sus afirmaciones. El análisis de este conjunto de datos ha revelado varias conclusiones cruciales:
- Amplio impacto en todas las organizaciones: la muestra contiene datos de más de 1.500 organizaciones únicas, lo que indica una filtración significativa.
- Autenticidad de los datos: el volumen y la estructura de la información filtrada dificultan enormemente su falsificación, lo que refuerza la credibilidad de la filtración.
- Indicadores de acceso a producción: muchas organizaciones afectadas tienen ID de tenant con el formato {tenant}-dev, {tenant}-test y {tenant}, lo que sugiere firmemente que el actor de amenazas también tiene acceso a entornos de producción.
- Exposición de correos electrónicos personales: el conjunto de datos incluye una cantidad considerable de direcciones de correo electrónico personales, probablemente debido a que las organizaciones permiten la autenticación basada en SSO para sus usuarios y clientes.
- Investigadores independientes que también recibieron este archivo pudieron verificar la validez de la filtración y confirmar que se trata de una violación legítima.
Dado que los supuestos datos podrían dar lugar a ataques generalizados a la cadena de suministro, CloudSek publicó una herramienta gratuita para comprobar si su organización figura en la lista de víctimas compartida por el atacante.
CVE-2021-35587
El actor de amenazas afirmó que todos los servidores de Oracle Cloud utilizan una versión vulnerable con un CVE-2021-35587 público que ya ha sido explotado anteriormente y que en 2022 ya tenía un exploit público conocido. Aquí se puede ver un análisis técnico de lo que se conoce hasta ahora de la brecha.
El CVE-2021-35587 (CVSS 9.8) se publicó en enero de 2022. Se trata de una vulnerabilidad en el producto Oracle Access Manager de Oracle Fusion Middleware que permite a un atacante no autenticado (Pre-auth) con acceso a la red a través de HTTP comprometer Oracle Access Manager y tomar el control total del sistema para llevar a cabo la ejecución remota de código (RCE).
Es decir que, esta vulnerabilidad, fácilmente explotable, permite que un atacante no autenticado con acceso a la red vía HTTP comprometa Oracle Access Manager. Una explotación exitosa puede llevar al control total de Oracle Access Manager.
Dado que Oracle Access Manager, definido en la guía de instalación, es una aplicación de seguridad de nivel empresarial que proporciona una gama completa de funciones de seguridad de perímetro web, esto puede tener graves consecuencias para las víctimas de este tipo de ataques.
Las versiones afectadas son: 11.1.2.3.0, 12.2.1.3.0 y 12.2.1.4.0
La primera prueba de concepto fue publicada en marzo de 2022 por los investigadores de seguridad Janggggg y Peterjson. Desde entonces, también han aparecido otras PoC, ofreciendo a los atacantes una gran variedad de opciones.
Filtración confirmada
La negación por parte de Oracle contradice las conclusiones de BleepingComputer, que recibió muestras adicionales de los datos filtrados del atacante y contactó a las empresas asociadas. Lo mismo han hecho diversos investigadores y todos llegan a al misma conclusión: la filtración es real.
Representantes de estas empresas, quienes aceptaron confirmar los datos bajo la promesa de anonimato, confirmaron la autenticidad de la información. Las empresas declararon que los nombres para mostrar, las direcciones de correo electrónico, los nombres de pila y demás información de identificación de LDAP asociados eran correctos y les pertenecían.
El atacante también compartió correos electrónicos con BleepingComputer, afirmando formar parte de un intercambio entre ellos y Oracle. Un correo electrónico muestra al atacante contactando con el correo electrónico de seguridad de Oracle (secalert_us@oracle.com) para informar que habían pirateado los servidores.
Otro hilo de correo electrónico compartido con BleepingComputer muestra un intercambio entre el atacante y alguien que usa una dirección de ProtonMail y afirma ser de Oracle. En este intercambio de correos electrónicos, el atacante afirma que alguien de Oracle, usando la dirección @proton.me, le dijo: "Hemos recibido sus correos. Usemos este correo para todas las comunicaciones a partir de ahora. Avísenme cuando lo reciban".
La empresa de ciberseguridad Cloudsek también encontró una URL de Archive.org que muestra que el servidor "login.us2.oraclecloud.com" ejecutaba Oracle Fusion Middleware 11g el 17 de febrero de 2025. Oracle desconectó este servidor tras informarse de la presunta brecha.
Esta versión del software se veía afectada por la vulnerabilidad mencionada (CVE-2021-35587) que permitía a atacantes no autenticados comprometer Oracle Access Manager. El actor de amenazas afirmó que esta vulnerabilidad se aprovechó para vulnerar los servidores.
Fuente: BC I | II | CloudSek I | CloudSek II
Vía:
https://blog.segu-info.com.ar/2025/03/supuesta-violacion-de-datos-de-oracle.html
Entradas relacionadas:
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.