Multi-License Discount Quote
Computer Security Cloudflare violato da un sospetto attore di minacce...

Cloudflare violato da un sospetto attore di minacce sponsorizzato dallo stato che accede al codice sorgente e ai documenti interni

Entro Mura nel Computer Security
Traduci in:
Italiano

Cloudflare, una nota società di sicurezza web e rete di distribuzione di contenuti, ha recentemente rivelato una preoccupante violazione della sicurezza orchestrata da un sospetto attore di minacce sponsorizzato dallo stato. L’incidente, svelato il 23 novembre, riguardava l’accesso non autorizzato ai sistemi interni tramite credenziali rubate, inizialmente compromesse durante l’hack Okta dell’ottobre 2023.

Sfruttare credenziali rubate

L'autore della minaccia ha sfruttato queste credenziali per infiltrarsi nel wiki interno e nel database dei bug di Cloudflare, conducendo attività di ricognizione a partire dal 14 novembre. Nonostante la segmentazione della rete ostacoli l'accesso ad alcuni sistemi critici, gli aggressori sono riusciti a penetrare nell'ambiente AWS di Cloudflare e nella suite Atlassian, inclusi Jira e Confluence.

All'interno della suite Atlassian, gli aggressori hanno cercato informazioni relative all'infrastruttura di rete di Cloudflare, concentrandosi su parole chiave come "accesso remoto", "segreto" e "token". Hanno persino creato un account Atlassian persistente per garantire l'accesso continuo. Inoltre, hanno implementato lo Sliver Adversary Emulation Framework per ottenere ulteriore accesso e hanno tentato di violare un data center non operativo a San Paolo, in Brasile.

Il piano d'azione rapido di Cloudflare

Mentre gli aggressori accedevano e scaricavano repository di codice sorgente, Cloudflare ha prontamente risposto ruotando i segreti crittografati e chiudendo gli account non autorizzati. Sono state implementate regole firewall per bloccare gli indirizzi IP degli aggressori e sono state adottate ampie misure di sicurezza, tra cui il re-imaging e il riavvio di tutte le macchine all'interno della rete globale di Cloudflare.

Nonostante l’indagine approfondita condotta da Cloudflare e CrowdStrike, nessuna prova suggeriva ulteriori compromissioni oltre ai sistemi a cui si accedeva. L’azienda rimane vigile, migliorando continuamente le proprie misure di sicurezza per prevenire future violazioni e salvaguardare la propria infrastruttura da minacce sofisticate.

Caricamento in corso...