Cloudflare narušen podezřelou státem sponzorovanou hrozbou při přístupu ke zdrojovému kódu a interním dokumentům

Cloudflare, známá společnost pro webovou bezpečnost a síť pro doručování obsahu, nedávno odhalila narušení bezpečnosti organizované podezřelým státem sponzorovaným aktérem hrozby. Incident, který byl odhalen 23. listopadu, zahrnoval neoprávněný přístup k interním systémům prostřednictvím odcizených přihlašovacích údajů, původně kompromitovaných během hacku Okta v říjnu 2023.

Zneužití odcizených přihlašovacích údajů

Hrozba zneužila tyto přihlašovací údaje k infiltraci do interní wiki a databáze chyb Cloudflare a prováděla průzkumné aktivity počínaje 14. listopadem. Navzdory segmentaci sítě bránící přístupu k určitým kritickým systémům se útočníkům podařilo proniknout do prostředí Cloudflare AWS a sady Atlassian, včetně Jira a Confluence.

V rámci sady Atlassian útočníci hledali informace související se síťovou infrastrukturou Cloudflare a zaměřili se na klíčová slova jako „vzdálený přístup“, „tajné“ a „token“. Dokonce vytvořili trvalý účet Atlassian, aby zajistili nepřetržitý přístup. Navíc nasadili Sliver Adversary Emulation Framework, aby získali další přístup, a pokusili se prolomit neprovozní datové centrum v São Paulu v Brazílii.

Rychlý akční plán Cloudflare

Zatímco útočníci přistupovali k úložištím zdrojového kódu a stahovali je, Cloudflare okamžitě zareagoval rotací zašifrovaných tajemství a ukončením neautorizovaných účtů. Byla implementována pravidla brány firewall k blokování IP adres útočníků a byla přijata rozsáhlá bezpečnostní opatření, včetně opětovného zobrazení a restartování všech strojů v globální síti Cloudflare.

Navzdory důkladnému vyšetřování ze strany Cloudflare a CrowdStrike žádný důkaz nenaznačoval další kompromitaci mimo přístupné systémy. Společnost zůstává ostražitá a neustále zlepšuje svá bezpečnostní opatření, aby zabránila budoucím narušením a ochránila svou infrastrukturu před sofistikovanými hrozbami.