Nel panorama sempre più complesso della cybersicurezza globale, Oracle e CISA sono al centro di due sviluppi distinti ma emblematici: da una parte, la gestione controversa di una violazione dei dati su server legacy Oracle, dall’altra, l’aggiunta da parte di CISA di due nuove vulnerabilità attivamente sfruttate al suo catalogo CVE.
Oracle: credenziali rubate da server legacy, ma il cloud non è stato violato
Oracle ha confermato tramite comunicazioni email ai clienti che un attaccante ha avuto accesso e pubblicato nomi utente rubati da due server obsoleti, dichiarando però che Oracle Cloud Infrastructure (OCI) non è stato compromesso.
Nella dichiarazione ufficiale:
“Nessun ambiente cliente OCI è stato penetrato. Nessun dato è stato visualizzato, rubato o compromesso.”
Secondo quanto condiviso, le password associate risultano criptate o hashate, e i server violati non facevano parte dell’infrastruttura cloud attiva. Tuttavia, l’incidente ha generato un’ondata di critiche da parte della community di cybersecurity per il modo in cui è stato gestito pubblicamente.
Il ricercatore Kevin Beaumont sottolinea come Oracle abbia usato un gioco di parole riferendosi alla piattaforma colpita come Oracle Cloud Classic, rietichettatura dei vecchi servizi cloud ormai non più aggiornati. Secondo Beaumont, si tratta comunque di infrastruttura gestita da Oracle, quindi riconducibile alla responsabilità dell’azienda.
La violazione ha avuto origine già a gennaio 2025, secondo il report di CybelAngel, e ha coinvolto l’installazione di una web shell e malware su server Gen 1. I dati rubati includono email, nomi utenti, e password hashate, secondo quanto riportato anche dal threat actor rose87168, che ha messo in vendita 6 milioni di record su BreachForums.
Nonostante le dichiarazioni di Oracle, numerosi clienti hanno confermato l’autenticità dei dati ricevuti in anteprima dal gruppo criminale, dimostrando che parte del materiale sottratto proviene da ambienti Oracle ancora utilizzati fino a fine 2024 e inizio 2025.
Nel frattempo, l’azienda è finita nuovamente sotto i riflettori per un secondo data breach, risalente a gennaio, riguardante Oracle Health (ex Cerner), dove sono stati compromessi dati sanitari di strutture ospedaliere statunitensi, ora oggetto di un’estorsione in criptovalute da parte di un attore sconosciuto noto come “Andrew”.
CISA aggiunge due nuove vulnerabilità al catalogo KEV
Contemporaneamente, la Cybersecurity and Infrastructure Security Agency (CISA) ha annunciato l’aggiunta di due nuove vulnerabilità attivamente sfruttate al suo Known Exploited Vulnerabilities Catalog (KEV), aggiornato in base a prove di sfruttamento attuale.
Il KEV è una lista dinamica di Common Vulnerabilities and Exposures (CVE) che rappresentano un rischio significativo per le reti federali statunitensi e, per estensione, per il settore pubblico e privato in tutto il mondo.
- CVE-2024-53197 Linux Kernel Out-of-Bounds Access Vulnerability
- CVE-2024-53150 Linux Kernel Out-of-Bounds Read Vulnerability
Le nuove CVE, benché non elencate esplicitamente nell’alert, rientrano nel perimetro definito dalla Binding Operational Directive 22-01 (BOD 22-01), che impone a tutte le agenzie FCEB (Federal Civilian Executive Branch) l’obbligo di correggere tempestivamente le vulnerabilità elencate.
CISA sottolinea come queste vulnerabilità siano spesso vettori principali per attacchi reali e invita tutte le organizzazioni, anche non federali, a includere la consultazione del catalogo KEV nelle proprie pratiche di gestione delle vulnerabilità.
L’aggiornamento della lista è parte della strategia CISA per la riduzione sistemica del rischio digitale, considerato uno degli obiettivi prioritari nel quadro di cybersicurezza nazionale USA.
