Trong tuần qua, hệ thống Threat Intelligence của NCS đã ghi nhận một bài đăng trên diễn đàn BreachForums, trong đó người dùng có tên rose87168 rao bán dữ liệu liên quan đến máy chủ Oracle trên môi trường Cloud.

Theo nội dung bài viết, kẻ tấn công tuyên bố đã chiếm quyền kiểm soát máy chủ có domain định dạng (login.(region-name).oraclecloud.com), thu thập khoảng 6 triệu dữ liệu khách hàng từ SSO và LDAP. Ngoài ra, nhiều thông tin nhạy cảm như JKS files, mật khẩu, key files và JPS keys cũng bị tiết lộ. Đối tượng còn công khai danh sách các tổ chức bị ảnh hưởng, đăng kèm dữ liệu mẫu và yêu cầu một khoản tiền để xóa bỏ thông tin, nhưng không cung cấp thêm chi tiết cụ thể.

Từ các nguồn dữ liệu thu thập được, Threat Intel NCS nhận định có hơn 200 tổ chức tại Việt Nam đang sử dụng Oracle Cloud.

Hiện tại, Oracle đã lên tiếng phủ nhận thông tin rose87168 đăng tải trên diễn đàn BreachForums, khẳng định: “Các dữ liệu bị công bố không thuộc về Oracle Cloud. Không có khách hàng nào của Oracle Cloud gặp phải vi phạm hoặc mất dữ liệu. Tuy nhiên, tuyên bố này trái ngược với bằng chứng do “rose87168” đưa ra và các phát hiện từ các công ty an ninh mạng như CloudSEK.

Vụ rò rỉ dữ liệu này diễn ra như thế nào?

 1. “rose87168” là ai?

“ rose87168 ” là tên người dùng trên diễn đàn Breachforums, tuyên bố đã xâm nhập Oracle Cloud và đánh cắp khoảng 6 triệu bản ghi dữ liệu được cho là đã hoạt động ít nhất từ tháng 1/2025, hiện rao bán dữ liệu trên các diễn đàn dark web như BreachForums và tiến hành tống tiền các tổ chức bị ảnh hưởng

2. “rose87168” bị cáo buộc đã đánh cắp dữ liệu gì từ Oracle Cloud?

Tin tặc tuyên bố đã chiếm đoạt 6 triệu bản ghi, bao gồm:

• Tệp Java KeyStore (JKS)

• Mật khẩu đăng nhập một lần (SSO) được mã hóa

• Mật khẩu, tệp khóa và dữ liệu LDAP được mã hóa

• Khóa JPS của Enterprise Manager

Dữ liệu rò rỉ được cho là này rất quan trọng đối với việc xác thực và bảo mật trong hệ thống Oracle Cloud.

3. Vụ tấn công Oracle được cho là xảy ra khi nào?

Theo “rose87168”, vụ vi phạm xảy ra khoảng 40 ngày trước ngày 21 tháng 3 năm 2025, khi dữ liệu bị đánh cắp lần đầu tiên được rao bán. Điều này đặt vụ xâm nhập vào khoảng giữa tháng 2 năm 2025.

3.1 Dòng thời gian của sự cố

9–15/02/2025 – Giai đoạn vi phạm ban đầu

4. “rose87168” đã xâm phạm Oracle Cloud như thế nào?

Tin tặc tuyên bố đã khai thác lỗ hổng trong cơ sở hạ tầng đăng nhập của Oracle Cloud, nhắm vào các endpoint theo định dạng login.(region-name).oraclecloud.com. Theo CloudSEK, có khả năng vụ tấn công liên quan đến CVE-2021-35587, một lỗ hổng thực thi mã từ xa (RCE) có điểm CVSS 9,8.

Lỗ hổng này đã được vá vào tháng 10/2021 nhưng vẫn có nguy cơ bị khai thác trên các hệ thống chưa cập nhật. Các cuộc tấn công nhắm vào lỗ hổng này đã được ghi nhận, và CISA đã đưa CVE-2021-35587 vào danh mục lỗ hổng đã bị khai thác.

5. Oracle có xác nhận vụ hack không?

Oracle đã phủ nhận vụ vi phạm, tuyên bố rằng:

“Không có vụ vi phạm nào đối với Oracle Cloud. Các thông tin đăng nhập được công bố không dành cho Oracle Cloud. Không có khách hàng nào của Oracle Cloud gặp phải vụ vi phạm hoặc mất bất kỳ dữ liệu nào.”  

Tuy nhiên, tuyên bố này trái ngược với bằng chứng do “rose87168” đưa ra và các phát hiện từ các công ty an ninh mạng như CloudSEK.

6. Có bao nhiêu tổ chức bị ảnh hưởng?

Theo báo cáo, vụ tấn công có thể đã ảnh hưởng đến hơn 140.000 tenant trên Oracle Cloud, bao gồm nhiều doanh nghiệp và tổ chức trên toàn cầu. Nếu vụ việc được xác thực, đây có thể là một trong những sự cố chuỗi cung ứng nghiêm trọng nhất với tác động lan rộng.

Tại Việt Nam, Threat Intel NCS nhận định có hơn 200 tổ chức tại Việt Nam đang sử dụng Oracle Cloud.

8. “rose87168” đang làm gì với Dữ liệu bị đánh cắp?

Tin tặc đang rao bán 6 triệu bản ghi trên BreachForums với mức giá không được tiết lộ hoặc để đổi lấy các lỗ hổng zero-day. Chúng cũng đề nghị các công ty bị ảnh hưởng trả một khoản phí để xóa dữ liệu của họ khỏi danh sách rò rỉ, đồng thời kêu gọi sự trợ giúp trong việc giải mã mật khẩu SSO bị đánh cắp và bẻ khóa các hash LDAP.