Gå direkte til indhold
 

Angrebet på Oracle – vi følger sagen tæt

Læsetid i minutter: 2

Skrevet d. 28-03-2025 08:34:40 af

Trusselsaktøren 'rose87168' hævder at have fået adgang til Oracles cloud-miljø og eksfiltreret 6 millioner dataposter, herunder JKS-filer, krypterede LDAP/SSO-adgangskoder og Oracle Enterprise Manager-nøgler.

Selvom Oracle benægter bruddet, har flere tredjeparts sikkerhedsfirmaer verificeret dele af lækagen som autentisk. Potentielt over 140.000 cloud-kunder er berørt, og mange oplysninger kan give uautoriseret adgang til kritiske systemer. 

Vi anbefaler, at berørte virksomheder og organisationer hurtigt får udarbejdet en risikovurdering på både ledelsesmæssigt og teknisk niveau.

“Når der er mistanke om kompromitterede adgangsnøgler, som i sagen med Oracle Cloud, bør første skridt altid være at skifte passwords og nøgler på privilegerede konti – og samtidig overvåge logs for tegn på misbrug”, siger Anders Høgh Olesen, Director of Strategic Security, Digital Forensics & Incident Response hos itm8 Cyber Security.

oracle-hacket-2025

Er I ramt?

Disse tiltag bør du forholde dig til

 

Risikovurdering – Ledelsesmæssigt perspektiv

Ledelsen skal forholde sig til:

  • Driftsforstyrrelser som følge af kompromitterede services
  • Mulig overtrædelse af GDPR og behov for anmeldelse
  • B2B-relationer og skader på tillid og forsyningskæder
  • Økonomiske konsekvenser ved genskabelse og risikominimering

Handling du bør foretage:

  • Iværksæt en impact assessment
  • Saml risikoteamet og vurdér direkte og indirekte eksponering
  • Sørg for opfølgning på cyberforsikringer og anmeldelsespligt

 

Tekniske risici og eksponering

Kendte eksponerede elementer (i skrivende stund):

  • Java KeyStores (JKS): potentielt giver angribere adgang til certifikater, private keys og SSL-kommunikation.
  • Encrypted SSO/LDAP: kan give lateral adgang til interne miljøer.
  • Enterprise Manager keys: kan anvendes til at overtage systemadministration.

Teknisk vurdering du skal tage stilling til:

  • Gennemgå jeres brug af Oracle Cloud og integration til lokale og interne miljøer.
  • Gennemgå alle certifikatbaserede forbindelser.
  • Identificér om I benytter LDAP til autentificering og hvilke systemer det berører.

 

Her er seks kortsigtede handlinger som vi anbefaler

  1. Skift straks alle credentials relateret til LDAP og SSO.
  2. Rotér nøgler og certifikater i jeres JKS/keystores.
  3. Indfør eller genbekræft MFA på alle adgangsveje.
  4. Revokér alle gamle sessionstokens/API-nøgler.
  5. Log og undersøg loginaktiviteter (SIEM/UEBA).
  6. Sæt midlertidige netværksbegrænsninger på sensitive services.


Fire ledelsestiltag på kort sigt 

  1. Udpeg en incidentmanager og sæt et sikkerhedsteam til at følge sagen dagligt, indtil I er afklaret.
  2. Informér direktion og bestyrelse med status og handleplan.
  3. Indkald DPO og vurder indberetningspligt.
  4. Udarbejd og del intern Q&A og kommunikationsplan til eksterne partnere/kunder.  

Og fem langsigtede sikkerhedsforbedringer

  1. Implementér central secrets management.
  2. Evaluer cloud-arkitektur.
  3. Indfør automatiserede nøgle- og adgangsrotationer.
  4. Indfør jævnlige sikkerhedstests og auditeringer.
  5. Sørg for log-retention og audit trails følger best practice.

 

Compliance og regulatorisk ansvar 

  • Er jeres behandling omfattet af GDPR, NIS2 eller DORA?
  • Vurder kravet om anmeldelse til Datatilsynet (24, 72 timer).
  • Dokumentér alle vurderinger og handlinger (compliance log).
  • Opdatér jeres fortegnelse over behandlingsaktiviteter.
  • Revurdér jeres leverandør-DPA’er og SLA’er i lys af hændelsen. 

Få hjælp af itm8 nu

Få seneste nyt i sagen hos version2 her


 

Har du brug for hjælp?

Er du under angreb og har brug for akut assistance, så tøv ikke med at række ud til vores Incidents Response-team på tlf. +45 9195 9595.

Vil du tale med en sikkerhedskonsulent, der kan hjælpe dig med IT-sikkerheden, så udfyld kontaktformularen.

Anders-hoegh-olesen

Anders Høgh Olesen

Director of Strategic Security, Digital Forensics & Incident Response, itm8.