Агентство з кібербезпеки та інфраструктурної безпеки в середу заявив, що організації та особи повинні Вживайте заходів для захисту свого середовища з потенційного компромісу застарілого хмарного середовища Oracle.

Попередження CISA визнала публічну звітність про передбачувану загрозу діяльності клієнтів Oracle, але заявила, що обсяг та вплив цієї діяльності не підтверджуються. ФБР на початку цього місяця відмовилося коментувати повідомлені напади.

CISA попередила про природу повідомленої загрози, що становить ризик для організацій та осіб, особливо в ситуаціях, коли матеріал довіри може бути підданий, повторно використаний у окремих та нефакційних системах, або вбудований у додатки та інструменти.

CISA заявила, що вбудовані ситуації можуть включати доцентні матеріали, який був жорсткий у сценарії, додатки, інфраструктурні шаблони або інструменти автоматизації. Агентство заявило, що вбудований обліковий матеріал може бути важко виявити і може забезпечити довгостроковий доступ несанкціонованого актора.

“Компроміс облікових матеріалів, включаючи імена користувачів, електронні листи, паролі, жетони аутентифікації та клавіші шифрування, може становити значний ризик для середовищ підприємств”, – йдеться в рекомендаціях.

CISA сказала, що організації повинні вжити наступних кроків:

• Скиньте паролі для відомих постраждалих користувачів, особливо у випадках, коли місцеві облікові дані не можуть бути федераційними за допомогою рішень для ідентифікації підприємств.
• Перегляньте вихідний код, інфраструктура як шаблони коду, сценарії автоматизації та файли конфігурації для жорстких кодованих або вбудованих облікових даних. Їх слід замінити за допомогою безпечних методів аутентифікації, що підтримуються централізованим секретним управлінням.
• Журнали аутентифікації слід контролювати на аномальну діяльність, особливо використання привілейованих, сервісних або федертованих облікових записів ідентичності.
• Фішинг -резистентна мультифакторна автентифікація повинна застосовуватися для всіх облікових записів користувачів та адміністратора, коли це можливо.

Керівництво CISA настає більше місяця після Актор загрози вимагав масового порушення Залучення до 6 мільйонів записів, що потенційно впливає на 140 000 орендарів. Фірма безпеки Cloudsek опублікувала дослідження, що вказує на хакера, що використовує вразливість в кінцевій точці входу Oracle Cloud.

Trustwave spiderlabs забезпечили додаткові дослідження, що підтверджують заявлене порушення після аналізу набору даних у березні.

Oracle заперечував будь -яке порушення хмарного середовища Oracle, але не дав чіткого пояснення після того, як кілька дослідницьких фірм переглянули докази передбачуваного порушення.

У березні Оракул Корпорації в районному суді Оракула в районі Оракурі в районному суді Оракула в західному окрузі Міссурі було подано позов до класової діяльності, а в західному окрузі Техасу було подано окрему справу.

Oracle не надав жодних громадських консультацій чи рекомендацій щодо того, що повинні робити клієнти у відповідь на ці претензії. Чиновники інформаційної безпеки повідомили, що кібербезпека занурюється, що компанія приватно порадила певним клієнтам, які звернулися за допомогою, але не видавали жодних громадських консультацій.

“Не було порушення Oracle Cloud (OCI)”, – заявив прес -секретар Oracle на початку цього місяця електронною поштою. “Опубліковані облікові дані не для OCI. Жоден клієнти OCI не зазнали порушення або втратили дані”.

Лідери інформаційної безпеки заявили, що все ще шукають більшої прозорості від Oracle, що відмовилося публічно пояснити ці звіти, крім того, щоб видавати відмови, що Oracle Cloud була порушена.

Джонатан Брейлі, директор з питань загрози IT-ISAC, заявив, що організація продовжує спілкуватися з членами з інформацією, яка була доступна.

“Консультативність корисна тим, що у нас є надійний звіт, яким ми можемо поділитися, хоча, схоже, CISA зайняла активну позицію пом'якшення” потенційного несанкціонованого доступу “, оскільки ми всі чекаємо деталей від Oracle”, – сказав Брейлі електронною поштою.

“Ми розчаровані відсутністю прозорості від Oracle”,-сказав Еррол Вайс, головний директор з питань безпеки в галузі обміну та аналізу охорони здоров'я, повідомив Cybersecurity Dive по електронній пошті. “Ми запросили їх поділитися через нашу спільноту, що займається лише членами, але ця пропозиція ще не діяла”.