Filtración Oracle Cloud 2025 impacta a 1,431 Entidades Mexicanas

¿Tu organización utiliza Oracle Cloud?

El equipo de Ciberinteligencia de Silent4Business (CTI-S4B) llevó a cabo una investigación sobre la presunta filtración Oracle Cloud 2025, afectando a 140,621 empresas globales, incluidas 1,431 entidades mexicanas. Este incidente, divulgado en foros de la dark web por el actor de amenaza “Rose87168”, expone credenciales, archivos JKS y contraseñas cifradas de SSO. Aquí desglosamos los hallazgos clave y las acciones urgentes.

Antecedentes: un ataque con demanda millonaria

El pasado 20 de marzo de 2025, un actor de amenaza bajo el nombre de “Rose87168”, publicó en el foro de Breach Forums una filtración y venta de información presuntamente asociada con Oracle Cloud y sus clientes.

El actor de amenaza afirmó haber obtenido acceso a los servidores de Oracle Cloud con subdominios que siguen el formato de “login[.](nombre-región) [.]oraclecloud[.]com”. Indicó que, si las compañías listadas pagan cierta cantidad o bien, si Oracle le contactaba directamente, sería posible eliminar los datos antes de su venta. Inicialmente, “Rose87168” solicitaba un pago de 20 millones de dólares a Oracle, aunque posteriormente ofreció vender la información al público general o bien, intercambiarla por exploits de día cero, alegando acceso a:

• Alrededor de 6 millones de credenciales de usuarios.
• Archivos JKS
• Llaves JPS de Enterprise Manager.
• Contraseñas SSO cifradas.

La publicación incluía una lista referente a 140,621 compañías presuntamente afectadas. El equipo de CTI-S4B realizó una revisión de dicha información, donde se detectaron alrededor de 1,431 entidades mexicanas presuntamente afectadas.

Adicionalmente, el actor de amenaza publicó en la red social X una URL que dirige a un archivo de texto con su correo electrónico, alojado en el servidor “login[.]us2[.]oraclecloud[.]com” de Oracle. Este archivo sugiere que el actor de amenaza cuenta con la capacidad de crear archivos dentro del servidor de Oracle.

Detalles técnicos: ¿Cómo ocurrió el compromiso?

De acuerdo con una investigación realizada por la firma de seguridad CloudSEK, el subdominio “login[.]us2[.]oraclecloud[.]com” podría haber sido el punto de inicio del ataque. Dicho subdominio corresponde a un endpoint SSO de producción, el cual estuvo activo hasta finales de febrero de 2025. 

Con la finalidad de verificar si el endpoint es legítimo y asociado a servicios de Oracle, investigadores de CloudSEK identificaron un repositorio público de GitHub, subido por “oracle-quickstart”, un perfil oficial de Oracle en dicha plataforma. En ese repositorio se encontró un script el cual realiza autenticación OAuth2, genera y autoriza tokens, y contiene referencias directas al servidor anteriormente mencionando, confirmando así su legitimidad y asociación con Oracle.

Como segunda instancia, CloudSEK verificó la relación del servidor con los clientes presuntamente afectados por la filtración. Para ello, identificaron repositorios públicos de Github los cuales contenían credenciales y/o configuraciones cifradas apuntando al subdominio en cuestión. Estos repositorios estaban vinculados a las siguientes empresas, listadas como afectadas por el actor de amenaza:

• sbgtv.com
• nexinfo.com
• cloudbasessolutions.com
• nucor-jfe.com
• rapid4cloud.com

Por otro lado, CloudSEK validó que el servidor era utilizado para configuraciones de SSO en entornos de producción, por medio de manuales y documentación oficial publicados por empresas reconocidas. Por ejemplo, OneLogin, un proveedor de soluciones IAM, cuenta con un artículo sobre Oracle Fusion que explica cómo configurar OneLogin para habilitar SSO utilizando SAML. Asimismo, Rainfocus, un socio de despliegue y migración de Oracle Cloud, cuenta con un manual donde indica a los usuarios iniciar sesión en un sitio asociado al subdominio “login[.]us2[.]oraclecloud[.]com”, reforzando así que el endpoint se encuentra en uso dentro de entornos productivos.

Vulnerabilidad asociada a la filtración Oracle Cloud

Como se mencionó anteriormente, el actor de la amenaza afirmó haber comprometido el subdominio “login[.]us2[.]oraclecloud[.]com, el cual ya no se encuentra activo desde que el ataque fue divulgado públicamente. Como se observa en la Ilustración 5, se sugiere que dicho subdominio hacía uso de Oracle Fusion Middleware 11G, un servicio que no había sido actualizado desde el 27 de septiembre de 2014. En medios especializados se especula que el actor de amenaza pudo haber explotado la vulnerabilidad CVE-2021-35587, la cual afecta a Oracle Fusion Middleware.

Dicha vulnerabilidad podría permitirles a los atacantes no autenticados y con acceso a la red por medio de HTTP, comprometer Oracle Access Manager, lo que podría otorgarles control total sobre el servicio.

A continuación, se presentan detalles adicionales sobre la vulnerabilidad:

Respuesta de Oracle: contradicciones y riesgos latentes

Según informes recientes, Oracle reconoció de manera privada ante algunos clientes que un atacante accedió a un entorno “legacy”, inactivo desde hace ocho años, resultando en el robo de credenciales antiguas. La empresa ha indicado que dichas credenciales representan un riesgo mínimo. Sin embargo, de acuerdo con muestras presentadas en el foro de la dark web y confirmadas por algunos clientes a medios como The Hacker News, Bleeping Computer y CloudSEK, las credenciales robadas son válidas y recientes (con fechas de 2024 y 2025).

Una fuente anónima de CybelAngel indicó que Oracle se comunicó con accionistas para informarles sobre un incidente de seguridad que afectó a sus servidores Gen 1. Además, la fuente menciona que Oracle habría identificado a un atacante activo desde enero de 2025. También informó que Oracle ha involucrado al FBI y la firma de seguridad CrowdStrike para investigar el incidente.

No obstante, Oracle ha declarado públicamente a medios como CNBC, Bleeping Computer, SecurityWeek y The Hacker News que la filtración Oracle Cloud 2025 no ha ocurrido. Asimismo, la empresa mencionó que las credenciales comprometidas no pertenecen a Oracle Cloud y que ningún cliente se ha visto afectado por una brecha de seguridad o pérdida de información.

Recomendaciones urgentes para empresas afectadas

• Rotar credenciales: Cambie inmediatamente contraseñas de cuentas LDAP.
• Auditar logs: Busque accesos anómalos en instancias de Oracle.
• Implementar MFA: Autenticación de doble factor para cuentas críticas.
• Actualizar sistemas: Parchear Oracle Fusion Middleware a versiones soportadas.

Conclusiones: un recordatorio para la prevención proactiva

La evidencia y fuentes donde se obtuvo la información para este documento de inteligencia sugiere que el actor pudo haber explotado una vulnerabilidad crítica (CVE-2021-35587) en Oracle Fusion Middleware, permitiendo un acceso no autenticado a funciones críticas. Esta vulnerabilidad, combinada con el uso de software desactualizado en un subdominio legítimo y previamente activo (login[.]us2[.]oraclecloud[.]com), refuerza la posibilidad de un compromiso.

Este caso subraya dos realidades:

1. La obsolescencia tecnológica es un riesgo crítico: Sistemas sin parches por años son blancos fáciles.
2. La transparencia salva reputaciones: Oracle enfrenta críticas por minimizar el incidente públicamente, pese a evidencias contrarias.

El equipo de CTI-S4B continuará monitoreando noticias sobre la Filtración Oracle Cloud 2025, así como actividades relacionadas con el actor de amenaza con el fin de proporcionar información oportuna sobre posibles amenazas.

En Silent4Business, ofrecemos servicios de Ciberinteligencia y Monitoreo 24/7 para detectar amenazas en infraestructuras críticas. Solicite una Consultoría sin Costo y fortalezca su postura de seguridad.