Oracle Cloud Sunucuları Patladı: 6 Milyon Kayıt Çalındı

2025 yılının siber güvenlik tehditleri gündemine damga vuran bir gelişmeyle, Oracle Cloud sunucuları patladı. Bu saldırı “Oracle Cloud Sunucularından 6 Milyon Kayıt Çalındı” başlığı altında gündeme geldi. Veritabanı devi Oracle’ın küresel güvenlik yapısını sorgulatan bir vaka oldu. Bunu yapan “Rose87168” takma adını kullanan bir hackerdı. Özellikle Oracle’ın oturum açma altyapısındaki bir güvenlik açığından faydalanarak kritik bilgileri ele geçirdiğini ileri sürdü. İddialara göre sızdırılan veriler arasında Java Key Store (JKS) dosyaları, şifrelenmiş SSO parolaları, LDAP şifre karmaları, anahtar dosyaları ve Enterprise Manager JPS anahtarları kapsıyordu.

Oracle Cloud Sunucuları Patladı

140 Binden fazla kullanıcısı olan Oracle Cloud sunucuları nasıl patladı?

Saldırının dünya genelinde 140.000’den fazla Oracle Cloud müşterisini etkilediği iddia edilmektedir. Hacker, Oracle’ın oturum altyapısında bulunan login.(region-name).oraclecloud.com alt alan adındaki zaafiyeti kullandığını belirtti. Böylece alt alan adında barındırılan eski Oracle Fusion Middleware yazılımının, CVE-2021-35587 kodlu bilinen bir güvenlik açığı üzerinden istismar edildiği düşünülmektedir. Bununla birlikte açık, Oracle Access Manager yazılımını etkileyen ciddi bir zaafiyet olarak kayıtlara geçmiştir.

Karanlık Ağda Satışa Çıkan Veriler

Çalınan veriler, Breach Forums gibi karanlık ağ platformlarında da satışa konmuştur. Rose87168, etkilenen kuruluşlardan da fidye talep etmektedir. Aynı zamanda şifreli SSO ve LDAP parolalarının çözülmesi için ödüller vaat etmektedir. Böylece siber suç topluluklarını da teşviğe sürüklemektedir. Hacker, verileri sızdırmadan yaklaşık 40 gün önce sistemlere erişim sağladığını belirtmiştir. Ancak bu sürede de hedeflerini dikkatle seçtiğini açıklamıştır.

Oracle’dan Resmi Açıklama

Oracle, 21 Mart 2025’te yaptığı açıklamada bu iddiaları reddetti. Şirket, sistemlerinde herhangi bir ihlal yaşanmadığını ve paylaşılan bilgilerin Oracle altyapısıyla bağlantılı olmadığını ileri sürdü. Ancak bu açıklama, tehdit aktörünün teknik detaylarla desteklenen açıklamaları nedeniyle bazı kesimlerde inandırıcılığını yitirmiş durumda.

Etkilenen Kuruluşlara Kritik Uyarılar

Uzmanlar, Oracle Cloud altyapısını kullanan tüm kurumların acil önlemler alması gerektiğini belirtiyor:

1. Kimlik Bilgilerini Sıfırlayın: SSO, LDAP ve ilişkili tüm parolalar derhal değiştirilmelidir. Bu aşamada çok faktörlü kimlik doğrulama (MFA) zorunlu hale getirilmelidir.
2. Sistemleri İzleyin: Olağandışı erişim ya da davranışları tespit edebilmek için sürekli güvenlik izleme araçları devreye alınmalıdır.
3. Adli İnceleme Başlatın: Kurumsal düzeyde bir siber olay müdahale süreci ile zafiyetlerin izi sürülerek ve giderilmelidir.
4. Oracle ile İletişime Geçin: Olası bir ihlalin detaylarını öğrenmek ve sistemleri güvenceye almak için Oracle’a danışılmalıdır.
5. Güvenliği Güçlendirin: Erişim kontrolleri sıkılaştırılarak, log mekanizmaları detaylandırıp ve tüm bileşenler güncel tutulmalıdır.

Yükselen Tehdit: Bulut Ortamlarındaki Güvenlik Açıkları

Bu olay, modern siber saldırıların artan karmaşıklığını gözler önüne seriyor. Özellikle bulut altyapılarına yönelik tehditlerin büyüklüğü dikkat çekiyor. Oracle Cloud sunucularından 6 milyon kaydın çalındığı iddiası, ciddi endişeler yaratıyor. Bu durum, sadece Oracle müşterilerini değil, küresel veri güvenliği paradigmasını da doğrudan etkiliyor. Yazılım güncellemelerinin ihmal edilmemesi gerektiği bir kez daha vurgulanıyor. Proaktif güvenlik önlemleri, artık bir lüks değil, zorunluluk haline gelmiştir.