Cloudflare'i rikkus kahtlustatav osariigi toetatud ähvardus, kes pääseb juurde lähtekoodile ja sisedokumentidele

Tuntud veebiturbeettevõte ja sisu edastamise võrk Cloudflare avalikustas hiljuti kahtlustatava riiklikult toetatava ohutegija korraldatud turvarikkumise. 23. novembril avalikustatud intsident hõlmas varastatud mandaatide kaudu volitamata juurdepääsu sisesüsteemidele, mis algselt ohustati Okta 2023. aasta oktoobri häkkimise ajal.

Varastatud volikirjade ärakasutamine

Ohutegija kasutas neid mandaate, et tungida Cloudflare'i sisemisse wiki ja vigade andmebaasi, viies alates 14. novembrist läbi luuretegevusi. Vaatamata võrgu segmenteerimisele, mis takistas juurdepääsu teatud kriitilistele süsteemidele, õnnestus ründajatel tungida Cloudflare'i AWS-i keskkonda ja Atlassiani komplekti, sealhulgas Jira ja Confluence.

Atlassiani komplektis otsisid ründajad Cloudflare'i võrguinfrastruktuuriga seotud teavet, keskendudes sellistele märksõnadele nagu "kaugjuurdepääs", "salajane" ja "märk". Nad lõid isegi püsiva Atlassiani konto, et tagada pidev juurdepääs. Lisaks kasutasid nad täiendava juurdepääsu saamiseks Sliver Adversary Emulation Frameworki ja üritasid rikkuda Brasiilias São Paulos asuvat mittetoimivat andmekeskust.

Cloudflare'i kiire tegevuskava

Kui ründajad pääsesid ligi ja laadisid alla lähtekoodihoidlatele, reageeris Cloudflare kiiresti krüptitud saladuste pööramisega ja volitamata kontode sulgemisega. Ründajate IP-aadresside blokeerimiseks rakendati tulemüüri reegleid ja võeti kasutusele ulatuslikud turvameetmed, sealhulgas kõigi Cloudflare'i globaalses võrgus olevate masinate uuesti pildistamine ja taaskäivitamine.

Vaatamata Cloudflare'i ja CrowdStrike'i põhjalikule uurimisele, ei viidanud ükski tõend täiendavale kompromissile peale juurdepääsetavate süsteemide. Ettevõte jääb valvsaks, täiustades pidevalt oma turvameetmeid, et vältida tulevasi rikkumisi ja kaitsta oma infrastruktuuri keeruliste ohtude eest.