Infine, rose87168 avrebbe inoltrato alla redazione uno scambio di email con un account Proton Mail (un servizio svizzero di email protetto da crittografia – ndr) che il cyber criminale sostiene venga utilizzato da uno dei responsabili di sicurezza di Oracle per trattare con lui.
Un problema anche per l’Italia?
Siamo ancora nel campo delle ipotesi, ma le probabilità che l’attacco abbia ripercussioni nel nostro paese sono piuttosto basse. Prima di tutto perché l’attacco riguarda il server login.us2.oraclecloud.com e, di conseguenza, avrebbe coinvolto una regione (come vengono chiamati i data center in ambito cloud) negli Stati Uniti.
In secondo luogo, le prime ricostruzioni dell’attacco non fanno pensare a un problema strutturale dei servizi Oracle o a una nuova vulnerabilità. L’attacco, secondo quanto riportato dalla società di cyber security CloudSEK, potrebbe aver sfruttato una vulnerabilità (CVE-2021-35587) conosciuta fin dal dicembre 2022 dei sistemi di autenticazione Oracle Access Manager.
I ricercatori, infatti, hanno utilizzato Wayback Machine per analizzare la versione del software installata sul server e hanno scoperto che, almeno fino al 17 febbraio, utilizzava una vecchia versione di Oracle Fusion Middleware (11g) e il software non veniva aggiornato dal settembre 2014. L’attacco, quindi, sarebbe stato reso possibile da una (clamorosa) dimenticanza ed è piuttosto difficile che altre regioni abbiano la stessa vulnerabilità.
L’ipotesi di un “cane sciolto”
Chi è rose87168? Sul forum in cui ha rivendicato l’attacco, l’account è comparso solo lo scorso gennaio e non risulta che si sia reso protagonista di altre azioni del genere. Tutto fa pensare che non si tratti di un membro di una gang specializzata in furto di dati. Di solito, infatti, i gruppi che si dedicano alle estorsioni utilizzano dei veri e propri “siti di rappresentanza” sul Dark Web per pubblicare le rivendicazioni degli attacchi.
Anche il fatto che abbia “chiesto aiuto” per decifrare le password, offrendo parte dei dati come ricompensa, lascia pensare a un individuo isolato che non ha a disposizione particolari strumenti per dare seguito al primo attacco.
La vulnerabilità che è stata sfruttata, infine, viene descritta dagli esperti come un bug che permette di prendere il completo controllo del sistema di accesso ed è definita come “molto facile da sfruttare”. Insomma: è probabile che rose87168 abbia semplicemente scoperto la presenza del software vulnerabile e abbia colto al volo l’occasione.
Fonte : Wired
