Trusselsaktøren 'rose87168' hævder at have fået adgang til Oracles cloud-miljø og eksfiltreret 6 millioner dataposter, herunder JKS-filer, krypterede LDAP/SSO-adgangskoder og Oracle Enterprise Manager-nøgler.
Selvom Oracle benægter bruddet, har flere tredjeparts sikkerhedsfirmaer verificeret dele af lækagen som autentisk. Potentielt over 140.000 cloud-kunder er berørt, og mange oplysninger kan give uautoriseret adgang til kritiske systemer.
Vi anbefaler, at berørte virksomheder og organisationer hurtigt får udarbejdet en risikovurdering på både ledelsesmæssigt og teknisk niveau.
“Når der er mistanke om kompromitterede adgangsnøgler, som i sagen med Oracle Cloud, bør første skridt altid være at skifte passwords og nøgler på privilegerede konti – og samtidig overvåge logs for tegn på misbrug”, siger Anders Høgh Olesen, Director of Strategic Security, Digital Forensics & Incident Response hos itm8 Cyber Security.
Er I ramt?
Disse tiltag bør du forholde dig til
Risikovurdering – Ledelsesmæssigt perspektiv
Ledelsen skal forholde sig til:
Driftsforstyrrelser som følge af kompromitterede services
Mulig overtrædelse af GDPR og behov for anmeldelse
B2B-relationer og skader på tillid og forsyningskæder
Økonomiske konsekvenser ved genskabelse og risikominimering
Handling du bør foretage:
Iværksæt en impact assessment
Saml risikoteamet og vurdér direkte og indirekte eksponering
Sørg for opfølgning på cyberforsikringer og anmeldelsespligt
Tekniske risici og eksponering
Kendte eksponerede elementer (i skrivende stund):
Java KeyStores (JKS): potentielt giver angribere adgang til certifikater, private keys og SSL-kommunikation.
Encrypted SSO/LDAP: kan give lateral adgang til interne miljøer.
Enterprise Manager keys: kan anvendes til at overtage systemadministration.
Teknisk vurdering du skal tage stilling til:
Gennemgå jeres brug af Oracle Cloud og integration til lokale og interne miljøer.
Gennemgå alle certifikatbaserede forbindelser.
Identificér om I benytter LDAP til autentificering og hvilke systemer det berører.
Her er seks kortsigtede handlinger som vi anbefaler
Skift straks alle credentials relateret til LDAP og SSO.
Rotér nøgler og certifikater i jeres JKS/keystores.
Indfør eller genbekræft MFA på alle adgangsveje.
Revokér alle gamle sessionstokens/API-nøgler.
Log og undersøg loginaktiviteter (SIEM/UEBA).
Sæt midlertidige netværksbegrænsninger på sensitive services.
Fire ledelsestiltag på kort sigt
Udpeg en incidentmanager og sæt et sikkerhedsteam til at følge sagen dagligt, indtil I er afklaret.
Informér direktion og bestyrelse med status og handleplan.
Indkald DPO og vurder indberetningspligt.
Udarbejd og del intern Q&A og kommunikationsplan til eksterne partnere/kunder.
Og fem langsigtede sikkerhedsforbedringer
Implementér central secrets management.
Evaluer cloud-arkitektur.
Indfør automatiserede nøgle- og adgangsrotationer.
Indfør jævnlige sikkerhedstests og auditeringer.
Sørg for log-retention og audit trails følger best practice.
Compliance og regulatorisk ansvar
Er jeres behandling omfattet af GDPR, NIS2 eller DORA?
Vurder kravet om anmeldelse til Datatilsynet (24, 72 timer).
Dokumentér alle vurderinger og handlinger (compliance log).
Opdatér jeres fortegnelse over behandlingsaktiviteter.
Revurdér jeres leverandør-DPA’er og SLA’er i lys af hændelsen.
Anders Høgh Olesen
