Bevallom, némileg meglep, hogy az Oracle került a hírekbe egy breach kapcsán, én inkább a Microsoftot vártam, miután a márciusi frissítőcsomag 57 javított sérülékenységéből 44 magas vagy kritikus besorolású... Persze, ami késik, nem múlik, ahogy az itt is látható lesz.
Kiberbiztonságban jártasabbak azonnal látják, hogy a fenti egy 2021-es regisztrált sérülékenység - ma ugye 2025-öt írunk. Ebben az évben regisztráltak az Oracle Fusion Middleware openSSO agentjében egy 9.8-es értékelésű biztonsági hibát, 10-es skálán. Ez gyakorlatilag azt jelenti, hogy egy támadónak nagyon könnyű dolga van, ha ilyen sebezhetőségre bukkan.
Sajnos a rossz hírek nem értek véget. Az esecurityplanet.com vonatkozó írása szerint a releváns login endpoint utolsó frissítése 2014. szeptember 27-én történt. Mivel nehezen elképzelhető, hogy egy ügyfelek számára készített web végpont ismeretlen a tulajdonos szervezet számára, így csak a hanyagságot tudom elképzelni, mint okot a frissítések elmaradására.
Egyes hírek szerint 140 000 ügyfél 6 millió rekordját lovasította meg a támadó, ami arra utal, hogy a hanyagság a cégkultúra szerves része: mivel Oracle sérülékenységet használtak ki, nem pedig az egyik ügyfél hibájából jutott az információkhoz az elkövető, azt jelenti, hogy a tenant szeparáció valahol nem valósult meg. Az Oracle hiába tagad mindent, az adatokat eladásra kínálják a dark weben.
Az okos ember nem a saját kárán tanul - úgy tűnik, ez cégekre, vagy egyes cégekre nem igaz. A kiberbiztonsági 101 azzal kezdődik, hogy frissíteni kell. Firmware-t, OS-t, alkalmazásokat, hálózati eszközöket, végpontvédelmet, mindent.
Ehhez először szükséges egy up-to-date közeli állapotban lévő eszköznyilvántartás (sosem lesz 100%-os, mivel egy nagyobb szervezetben naponta változik az eszközpark, viszont a változások sokszor csak nap végén kerülnek átvezetésre), illetve kell egy Vulnerability Management Program. Ez utóbbinak a feladata, hogy nyomon kövesse a szervezet eszközeit érintő sérülékenységeket, megrendelje a releváns belső csapatoktól a javítást, majd visszaellenőrizze az elvégzett munka helyességét.
Olyan esetekben, ahol a frissítés több, mint egy évtizedig elmarad, vastagon felmerül a cégvezetés felelőssége is, nem csak a releváns csapaté. Ha a cégkultúra részévé vált a hanyagság, akkor a CEO-é is. Persze az Oracle kapcsán nincsenek illúzióim. Safra Catz - az Oracle jelenlegi CEO-ja - nagyon régóta Oracle alkalmazott, Mark Hurd 2019-es halála óta pedig egyedül vezeti a céget. Volt ideje magába szívni a Larry Ellison-féle "kultúrát", nem fog e breach nyomán lemondani s pozíciójáról, helyette valószínűleg sok középszintű vezető repül majd.
CoreSec
2025.03.28.