10 طرق لتجنّب هجمات الهندسة الاجتماعية

مارس 20, 2025

مستويات نضج مركز عمليات الأمن (SOC): خطوات لتحسين الخدمة باستمرار

أبريل 15, 2025

جدل اختراق Oracle Cloud: بين النفي والابتزاز والمسؤولية الأخلاقية

مارس 23, 2025

استمع إلى المدوّنة الصوتية

كشفت منصة XVigil التابعة لشركة الأمن السيبراني CloudSEK عن حادثة حساسة ذات طابع عالٍ، بعد ادعاء مهاجم يُعرف باسم rose87168 تمكنه من سرقة 6 ملايين سجل من أنظمة تسجيل الدخول الموحّد SSO وLDAP المرتبطة بـ Oracle Cloud. وتتضمن البيانات المسروقة – وفقاً للمهاجم – كلمات مرور مشفّرة، وملفات Java Keystore (JKS)، ومفاتيح Enterprise Manager، يُعتقد أنها استُخرجت من خوادم Oracle Fusion Middleware قديمة وغير مدعومة.

وبينما تُصر Oracle على نفي حدوث أي اختراق في بنيتها السحابية، تشير الأدلة المتزايدة وأساليب الابتزاز التي يتبعها المهاجم إلى أسئلة ملحّة يجب أن تضعها المؤسسات حول العالم في الحسبان. يستعرض هذا المقال خلفيات الحادثة، والتضارب في الروايات، وخطوات عملية للتعامل مع المخاطر.

ما الذي حدث؟

في 21 مارس 2025 ظهر المهاجم rose87168 على منتدى BreachForums عارضًا بيع 6 ملايين سجل يزعم أنها سُرقت من أنظمة SSO وLDAP لدى Oracle. وتشمل البيانات:

كلمات مرور SSO/LDAP مشفّرة
ملفات Java Keystore (JKS) ومفاتيح مرتبطة
مفاتيح Enterprise Manager JPS

Oracle Cloud Breach Controversy: Navigating Denials, Extortion, and Ethical Responsibility

مسار الهجوم

يزعم المهاجم إنه استغل الثغرة CVE-2021-35587 في Oracle Access Manager ضمن Fusion Middleware 11G. ورغم صدور التحديث الأمني في 2021، فإن الأنظمة غير المحدثة بقيت عرضة للاستغلال. ووفقًا للرواية، فقد استُهدف النطاق الفرعي: login.us2.oraclecloud.com والذي كان يشغّل نسخة قديمة من Oracle Fusion Middleware 11G تم إيقاف دعمها منذ 2014

دلائل الوصول غير المصرّح به

لتعزيز ادعاءاته، نشر المهاجم رابطًا من Internet Archive يعرض ملفًا نصيًا تم رفعه إلى خادم Oracle نفسه، متضمّنًا بريده في ProtonMail، وهو مؤشر على وصول فعلي إلى بيئة Oracle

نفي Oracle مقابل تأكيدات المهاجم

جاء رد Oracle حاسمًا:

"لم يحدث أي اختراق في Oracle cloud. حيث أن البيانات المنشوره لا تخص Oracle cloud. لك يتعرض أي عميل لخسارة بيانات."

لكن تبقى أسئلة حرجة:

كيف تمكن المهاجم من رفع ملف على خادم Oracle؟ وجود ملف مرفوع يشير إلى وصول، حتى لو لم يكن إلى البنية الأساسية الأساسية.
هل يشمل نفي Oracle الأنظمة الموحّدة SSO/LDAP؟
تصريح Oracle يركّز على “Oracle Cloud” بشكل واسع، دون توضيح وضع الأنظمة المتكاملة أو البرامج القديمة.

أساليب الابتزاز

يبتز المهاجم الشركات المتضررة، مطالباً بدفع مبالغ مالية مقابل إزالة بياناتها المسربة. كما عرض مشاركة بيانات الاعتماد التي تم فك تشفيرها مع أي شخص يساعد قد يساعد اختراق كلمات المرور المشفرة.

لماذا قد يكون مصدر قلق للمؤسسات

سواءً تم اختراق نظام Oracle cloud أم لا، فإنّ الحادثة تُسلّط الضوء على مخاطر هيكلية:

البرمجيات القديمة تُشكّل نقطة ضعف: يُؤكّد استغلال الثغرة الأمنية CVE-2021-35587 خطورة الأنظمة غير المُحدّثة والتي انتهى دعمها. كان برنامج Oracle Fusion Middleware 11G، الذي توقف دعمه منذ عام 2014، هدفًا سهلًا للمهاجمين.
تأثير الدومينو في سلسلة التوريد: قد تُعرّض ملفات ومفاتيح JKS المسروقة موردي الطرف الثالث أو الشركاء أو العملاء المرتبطين ببيئات Oracle Cloud للخطر.
التبعات على السمعة والوضع المالي: حتى الارتباط غير المُؤكّد بالاختراق يُهدّد ثقة العملاء. وتُضيف طلبات الابتزاز ضغوطًا مالية.

خطوات عاجلة لحماية مؤسستك

إذا كانت مؤسستك تعتمد على SSO/LDAP أو Oracle Fusion Middleware، فتصرف على أساس احتمال وجود اختراق:

التحقق من التكاملات مع Oracle

تأكيد ارتباط أنظمة SSO/LDAP بنطاقات Oracle
تحديث Fusion Middleware فورًا (التخلص من 11G)

إعادة تعيين كلمات المرور

إعادة ضبط جميع حسابات SSO/LDAP خصوصًا المميزة.
الانتقال لمستوى مصادقة أقوى مثل SCRAM-SHA-256
الترجمة إلى العربية: معرّفات المستأجرين: تواصل مع دعم Oracle لتدوير بيانات الاعتماد الخاصة بالمستأجر.

إعادة إصدار الشهادات والمفاتيح

استبدال شهادات SSO/SAML/OIDC وملفات JKS فورًا.

مراقبة السجلات

فحص سجلات SSO/LDAP بحثًا عن نشاطات مشبوهة.
تفعيل أدوات الكشف الطرفي EDR وتحليل الشبكة.

التواصل مع Oracle والجهات الأمنية

طلب إيضاحات حول المخاطر المتعلقة بالأنظمة الموحّدة.
الإبلاغ عن محاولات الابتزاز للجهات المختصة.

تعزيز سياسات الوصول

فرض المصادقة متعددة العوامل MFA.
تطبيق مبدأ انعدام الثقة وعدم إعطاء الصلاحية.

الصورة الكاملة: الدروس المستفادة

إدارة الثغرات ضرورة لا خيار
الثغرة كانت مدرجة ضمن قوائم CISA — لكن الكثير تجاهل تحديثها.
الأنظمة القديمة قد تكون عبء أمني
أي برنامج غير مدعوم يمثل نقطة دخول ذهبية للمهاجمين.
الشفافية عنصر أساسي
الغموض في تصريحات الشركة يزيد عدم اليقين ويضاعف القلق، حيث يجب إعطاء أولوية للتواصل الواضح أثناء الاختراقات الأمنية.

قائمة الشركات المتضررة

شارك المهاجم لائحة مفترضة للشركات المتضررة. ولأن صحة هذه البيانات غير مؤكدة، ولتفادي الإضرار بسمعة جهات غير مثبت تورطها، لن نقوم بنشرها التزامًا بالمسؤولية الأخلاقية.

الخلاصة

تكشف قضية Oracle Cloud أن الأمن السيبراني ليس مسألة أدوات فقط، بل منظومة متكاملة من التحديث، والحوكمة، والاستعداد. وبينما تستمر Oracle في نفي أي اختراق، إلا أن الأدلة المتداولة وأساليب المهاجم تشير إلى ضرورة اتخاذ تدابير عاجلة. على المؤسسات التحقق من تكاملها، وتحديث الأنظمة، وإدارة الثغرات باحترافية حتى لا تصبح ضحية في معركة لا ترحم

This post is also available in: English (الإنجليزية)