Multi-License Discount Quote
Computer Security Παραβίαση του Cloudflare από ύποπτο κρατικό ηθοποιό...

Παραβίαση του Cloudflare από ύποπτο κρατικό ηθοποιό απειλών που έχει πρόσβαση σε πηγαίο κώδικα και εσωτερικά έγγραφα

Μέχρι το Mura το Computer Security
Μετάφραση σε:
Ελληνικά

Η Cloudflare, μια γνωστή εταιρεία ασφάλειας ιστού και δίκτυο παράδοσης περιεχομένου, αποκάλυψε πρόσφατα μια παραβίαση ασφαλείας που ενορχηστρώθηκε από έναν ύποπτο φορέα απειλών που χρηματοδοτείται από το κράτος. Το περιστατικό, που αποκαλύφθηκε στις 23 Νοεμβρίου, αφορούσε τη μη εξουσιοδοτημένη πρόσβαση σε εσωτερικά συστήματα μέσω κλεμμένων διαπιστευτηρίων, τα οποία αρχικά παραβιάστηκαν κατά την εισβολή της Okta τον Οκτώβριο του 2023.

Εκμετάλλευση κλεμμένων διαπιστευτηρίων

Ο παράγοντας απειλής εκμεταλλεύτηκε αυτά τα διαπιστευτήρια για να διεισδύσει στην εσωτερική βάση δεδομένων wiki και σφαλμάτων του Cloudflare, πραγματοποιώντας δραστηριότητες αναγνώρισης ξεκινώντας από τις 14 Νοεμβρίου. Παρά την τμηματοποίηση δικτύου που εμποδίζει την πρόσβαση σε ορισμένα κρίσιμα συστήματα, οι εισβολείς κατάφεραν να διεισδύσουν στο περιβάλλον AWS του Cloudflare και στην Atlassian σουίτα, συμπεριλαμβανομένων των Jira και Conflu.

Μέσα στη σουίτα Atlassian, οι εισβολείς αναζήτησαν πληροφορίες σχετικά με την υποδομή δικτύου του Cloudflare, εστιάζοντας σε λέξεις-κλειδιά όπως "απομακρυσμένη πρόσβαση", "μυστικό" και "token". Δημιούργησαν ακόμη και έναν μόνιμο λογαριασμό Atlassian για να εξασφαλίσουν συνεχή πρόσβαση. Επιπλέον, ανέπτυξαν το Sliver Adversary Emulation Framework για να αποκτήσουν περαιτέρω πρόσβαση και προσπάθησαν να παραβιάσουν ένα μη λειτουργικό κέντρο δεδομένων στο Σάο Πάολο της Βραζιλίας.

Το Σχέδιο Δράσης Swift της Cloudflare

Ενώ οι εισβολείς είχαν πρόσβαση και κατέβασαν αποθετήρια πηγαίου κώδικα, το Cloudflare απάντησε αμέσως περιστρέφοντας κρυπτογραφημένα μυστικά και τερματίζοντας μη εξουσιοδοτημένους λογαριασμούς. Εφαρμόστηκαν κανόνες τείχους προστασίας για τον αποκλεισμό των διευθύνσεων IP των εισβολέων και ελήφθησαν εκτεταμένα μέτρα ασφαλείας, συμπεριλαμβανομένης της επανεικόνασης και της επανεκκίνησης όλων των μηχανημάτων εντός του παγκόσμιου δικτύου του Cloudflare.

Παρά την ενδελεχή έρευνα από το Cloudflare και το CrowdStrike, κανένα στοιχείο δεν υποδηλώνει περαιτέρω συμβιβασμό πέρα από τα συστήματα στα οποία έχει πρόσβαση. Η εταιρεία παραμένει σε εγρήγορση, βελτιώνοντας συνεχώς τα μέτρα ασφαλείας της για την πρόληψη μελλοντικών παραβιάσεων και την προστασία της υποδομής της από εξελιγμένες απειλές.

Φόρτωση...