تم اختراق Cloudflare من قبل جهة تهديد ترعاها الدولة المشتبه بها للوصول إلى كود المصدر والوثائق الداخلية

كشفت Cloudflare، وهي شركة معروفة في مجال أمن الويب وشبكة توصيل المحتوى، مؤخرًا عن خرق أمني مثير للقلق تم تنظيمه بواسطة جهة تهديد ترعاها الدولة. تضمنت الحادثة، التي تم الكشف عنها في 23 نوفمبر، الوصول غير المصرح به إلى الأنظمة الداخلية من خلال بيانات الاعتماد المسروقة، والتي تم اختراقها في البداية خلال اختراق Okta في أكتوبر 2023.

استغلال أوراق الاعتماد المسروقة

استغل ممثل التهديد بيانات الاعتماد هذه للتسلل إلى قاعدة بيانات wiki والأخطاء الداخلية لـ Cloudflare، وإجراء أنشطة استطلاع بدءًا من 14 نوفمبر. وعلى الرغم من تجزئة الشبكة التي تعيق الوصول إلى بعض الأنظمة المهمة، تمكن المهاجمون من اختراق بيئة AWS الخاصة بـ Cloudflare ومجموعة Atlassian، بما في ذلك Jira وConfluence.

داخل مجموعة Atlassian، بحث المهاجمون عن المعلومات المتعلقة بالبنية التحتية لشبكة Cloudflare، مع التركيز على الكلمات الرئيسية مثل "الوصول عن بعد" و"السرية" و"الرمز المميز". حتى أنهم قاموا بإنشاء حساب Atlassian مستمر لضمان استمرار الوصول. بالإضافة إلى ذلك، قاموا بنشر إطار محاكاة Sliver Adversary Emulation Framework للحصول على مزيد من الوصول وحاولوا اختراق مركز بيانات غير تشغيلي في ساو باولو، البرازيل.

خطة عمل Cloudflare السريعة

أثناء قيام المهاجمين بالوصول إلى مستودعات التعليمات البرمجية المصدر وتنزيلها، استجابت Cloudflare على الفور من خلال تدوير الأسرار المشفرة وإنهاء الحسابات غير المصرح بها. تم تنفيذ قواعد جدار الحماية لحظر عناوين IP الخاصة بالمهاجمين، كما تم اتخاذ إجراءات أمنية واسعة النطاق، بما في ذلك إعادة التصوير وإعادة التشغيل لجميع الأجهزة داخل شبكة Cloudflare العالمية.

على الرغم من التحقيق الشامل الذي أجرته Cloudflare وCrowdStrike، لم يكن هناك أي دليل يشير إلى مزيد من التسوية خارج نطاق الأنظمة التي تم الوصول إليها. تظل الشركة يقظة، وتعمل باستمرار على تحسين إجراءاتها الأمنية لمنع الانتهاكات المستقبلية وحماية بنيتها التحتية ضد التهديدات المعقدة.