A Cloudflare-t megsértette egy feltételezett államilag szponzorált fenyegetőző, aki hozzáfért a forráskódhoz és a belső dokumentumokhoz

A Cloudflare, egy jól ismert webbiztonsági cég és tartalomszolgáltató hálózat nemrégiben nyilvánosságra hozott egy biztonsági megsértést, amelyet egy feltételezett államilag szponzorált fenyegetettség irányított. A november 23-án nyilvánosságra hozott incidens a belső rendszerekhez való jogosulatlan hozzáférést érintette lopott hitelesítő adatokon keresztül, amelyet kezdetben az Okta 2023. októberi hackelése során veszélyeztettek.

Az ellopott hitelesítő adatok kihasználása

A fenyegetettség szereplője ezeket a hitelesítő adatokat kihasználva behatolt a Cloudflare belső wiki- és hibaadatbázisába, és november 14-től felderítő tevékenységet végzett. Annak ellenére, hogy a hálózati szegmentáció megakadályozta a hozzáférést bizonyos kritikus rendszerekhez, a támadóknak sikerült behatolniuk a Cloudflare AWS környezetébe és az Atlassian programcsomagba, beleértve a Jira és a Confluence szoftvereket is.

Az Atlassian programcsomagon belül a támadók a Cloudflare hálózati infrastruktúrájával kapcsolatos információkat kerestek, olyan kulcsszavakra összpontosítva, mint a "távelérés", a "titkos" és a "token". Még egy állandó Atlassian-fiókot is létrehoztak, hogy biztosítsák a folyamatos hozzáférést. Ezenkívül bevezették a Sliver Adversary Emulation Framework-et, hogy további hozzáférést kapjanak, és megpróbáltak feltörni egy nem működő adatközpontot a brazíliai São Paulóban.

A Cloudflare gyors cselekvési terve

Míg a támadók hozzáfértek és letöltötték a forráskód-tárolókat, a Cloudflare azonnal reagált a titkosított titkok forgatásával és a jogosulatlan fiókok megszüntetésével. Tűzfalszabályokat vezettek be a támadók IP-címének blokkolására, és kiterjedt biztonsági intézkedéseket vezettek be, beleértve a Cloudflare globális hálózatán belüli összes gép újraképezését és újraindítását.

A Cloudflare és a CrowdStrike alapos vizsgálata ellenére semmilyen bizonyíték nem utalt további kompromisszumra a hozzáfért rendszereken túl. A vállalat továbbra is éber, folyamatosan fejleszti biztonsági intézkedéseit, hogy megelőzze a jövőbeni jogsértéseket, és megvédje infrastruktúráját a kifinomult fenyegetésekkel szemben.