Oracle Cloud supostamente sofre maior ataque à cadeia de suprimentos de 2025

A empresa de cibersegurança CloudSEK revelou, em relatório publicado ontem (21) o que já está sendo considerado o maior ataque à cadeia de suprimentos em 2025. Um hacker identificado como “rose87168” anunciou a venda de 6 milhões de registros extraídos da Oracle Cloud, afetando mais de 140 mil locatários (tenants) da plataforma global.

A violação teria ocorrido por meio de uma vulnerabilidade ainda não divulgada nos servidores de login da Oracle Cloud, especificamente nos domínios do tipo login.(região).oraclecloud.com. Entre os dados comprometidos estão arquivos JKS, senhas SSO criptografadas, chaves de segurança e tokens de gerenciamento corporativo (JPS keys).

Leia também: Dados de mais de 25 mil chaves Pix são vazados, comunica BC

Acesso via Oracle WebLogic é principal suspeita

Investigadores da CloudSEK afirmam ter identificado indícios de que os servidores de login da Oracle Cloud utilizam Oracle WebLogic, um middleware empresarial conhecido por seu histórico de vulnerabilidades críticas. O atacante teria explorado falhas nesses servidores para obter acesso não autorizado aos dados dos clientes.

A publicação mostra capturas de tela do fórum onde os dados foram anunciados, além do perfil do invasor na rede social X (ex-Twitter), onde ele passou a seguir contas ligadas à Oracle — uma forma de provocar e alertar empresas sobre o vazamento.

O que está em risco?

O impacto do vazamento é considerado alto pela CloudSEK, com os seguintes riscos imediatos:

• Exposição massiva de dados sensíveis de autenticação, incluindo senhas criptografadas de SSO e LDAP.
• Risco de ataques secundários, caso as senhas sejam quebradas.
• Tentativas de extorsão: o invasor está exigindo pagamento para remover os dados.
• Ameaça à segurança da cadeia de suprimentos, com possibilidade de comprometimento de sistemas interligados a partir das chaves e arquivos vazados.
• Uso de vulnerabilidade zero-day, o que levanta questionamentos sobre a segurança atual da Oracle Cloud.

Ação imediata recomendada

A CloudSEK emitiu um alerta “verde” com medidas urgentes para empresas potencialmente afetadas:

• Troca imediata de credenciais de SSO, LDAP e outros sistemas relacionados.
• Abertura de investigação forense completa para mapear acessos indevidos.
• Monitoramento contínuo da dark web em busca de menções aos dados vazados.
• Notificação à Oracle para investigação e correção da falha.
• Reforço nas políticas de acesso e autenticação multifator (MFA).

A empresa também disponibilizou uma ferramenta para verificação de exposição no ataque, acessível em: https://exposure.cloudsek.com/oracle.

O IT Forum entrou em contato com a Oracle para comentar o caso, mas não obteve resposta até o fechamento desta matéria.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!