في تطوّر جديد صادم في عالم أمن المعلومات، أكدّت شركة Oracle العملاقة للحوسبة السحابية، وبشكل غير علني، أنها تعرّضت لاختراق أمني طال أحد أنظمتها القديمة (Legacy)، مما أدى إلى تسريب أسماء المستخدمين، رموز الوصول (Passkeys)، وكلمات المرور المشفّرة. يأتي هذا الاعتراف الخاص متناقضًا تمامًا مع الإنكار العلني المتكرر من قبل الشركة لوقوع أي خرق أمني.
تفاصيل الاختراق: استغلال ثغرة في Oracle Fusion Middleware
وفقًا لتقارير من وكالة Bloomberg، فإن الهجوم تم من خلال استغلال ثغرة أمنية معروفة في Oracle Fusion Middleware تحت رمز التتبع (CVE-2021-35587). وقد سمحت هذه الثغرة للمهاجمين بتنفيذ كود ضار عبر استغلال ضعف في نظام Java منذ عام 2020، مما مكنهم من:
-
زرع Web Shell للتحكم بالخادم
-
نشر برمجيات خبيثة (Malware) تستهدف قاعدة بيانات Oracle الخاصة بإدارة الهوية (Oracle IDM)
-
سحب بيانات اعتماد المستخدمين بشكل مباشر
كلمات سر مشفّرة… ولكن لا يزال هناك خطر
أبلغت Oracle عملاءها بأن النظام المتأثر “لم يُستخدم منذ ثماني سنوات”، معتبرة أن بيانات الاعتماد المسروقة “لا تشكل خطرًا حقيقيًا”. إلا أن خبراء الأمن السيبراني يحذرون من أن البيانات القديمة يمكن أن تُستخدم كسلاح للوصول إلى أنظمة أخرى، خصوصًا إن لم يقم المستخدمون بتغيير كلمات مرورهم عبر الأنظمة المختلفة.
الجهات المشاركة في التحقيق
التحقيقات لا تزال جارية بقيادة كل من:
-
مكتب التحقيقات الفيدرالي الأمريكي (FBI)
-
شركة CrowdStrike المختصة بتحليل التهديدات المتقدمة
الخرق الحالي يُعد الثاني خلال أسابيع قليلة، بعد خرق منفصل طال وحدة Oracle Health (المعروفة سابقًا باسم Cerner)، والتي أثّرت على بعض عملاء الرعاية الصحية في الولايات المتحدة الشهر الماضي.
من هو المهاجم؟ وظهور البيانات على منتديات الاختراق
تسرب الخبر إلى العلن بعد أن قام مهاجم مجهول الهوية يُطلق على نفسه اسم “rose87168” بمحاولة بيع البيانات على منتدى BreachForums الشهير، مدعيًا أنه حصل عليها من خوادم Oracle السحابية.
شركات الأمن تؤكد صحة التسريب
عدة شركات أمنية مرموقة أجرت تحليلات مستقلة أكدت أن البيانات:
-
مستخرجة مباشرة من بيئة Oracle Cloud
-
تتضمن بيانات اعتماد أصلية من أنظمة دخول Oracle
من بين هذه الشركات:
-
Black Kite
-
CloudSEK
-
CyberAngel
-
Hudson Rock
-
Orca Security
-
SOCRadar
-
Sygnia
-
Trustwave
شركة CyberAngel أفادت بأن “البرمجية الخبيثة استهدفت قاعدة بيانات إدارة الهويات وسحبت بيانات حساسة للمستخدمين.”
هل تحاول Oracle التهرب من المسؤولية؟
الباحث الأمني كيفن بومونت اتهم Oracle بمحاولة التحايل اللفظي للهروب من المسؤولية القانونية والإعلامية، مشيرًا إلى أن الشركة قامت بإعادة تسمية خدمات “Oracle Cloud” القديمة إلى “Oracle Classic”، وهي الخدمات التي حدث فيها الاختراق.
“Oracle تنكر حدوث الخرق في ‘Oracle Cloud’ من خلال اللعب بالمصطلحات، بينما الواقع أن الخدمات المخترقة هي جزء من البنية السحابية التي تديرها Oracle نفسها.”
أدوات تحقق ومنظمات متضررة
شركة CloudSEK أطلقت أداة مجانية على الإنترنت تتيح للمنظمات التحقق مما إذا كانت بياناتها قد تسربت ضمن هذا الخرق.
وجاء هذا الاعتراف غير العلني في وقت حساس، حيث تواجه Oracle دعوى قضائية جماعية رفعتها مجموعة من المتضررين تتعلق بـ سوء تعاملها مع الحدث الأمني وتأخيرها في الإبلاغ الرسمي.
