„Cloudflare“ pažeidė įtariamas valstybės remiamas grėsmės veikėjas, pasiekiantis šaltinio kodą ir vidinius dokumentus

„Cloudflare“, gerai žinoma žiniatinklio saugos įmonė ir turinio pristatymo tinklas, neseniai paskelbė apie saugumo pažeidimą, kurį organizavo įtariamas valstybės remiamas grėsmės veikėjas. Lapkričio 23 d. atskleistas incidentas buvo susijęs su neteisėta prieiga prie vidinių sistemų per pavogtus kredencialus, kurie iš pradžių buvo pažeisti per 2023 m. spalio mėn. „Okta“ įsilaužimą.

Išnaudojimas pavogtais įgaliojimais

Grėsmės veikėjas pasinaudojo šiais kredencialais, kad įsiskverbtų į „Cloudflare“ vidinę wiki ir klaidų duomenų bazę, nuo lapkričio 14 d. vykdydamas žvalgybos veiklą. Nepaisant tinklo segmentavimo, trukdančio pasiekti tam tikras svarbias sistemas, užpuolikai sugebėjo įsiskverbti į „Cloudflare“ AWS aplinką ir „Atlassian“ rinkinį, įskaitant „Jira“ ir „Confluence“.

„Atlassian“ rinkinyje užpuolikai ieškojo informacijos, susijusios su „Cloudflare“ tinklo infrastruktūra, sutelkdami dėmesį į tokius raktinius žodžius kaip „nuotolinė prieiga“, „slapta“ ir „žetonas“. Jie netgi sukūrė nuolatinę „Atlassian“ paskyrą, kad užtikrintų nuolatinę prieigą. Be to, jie įdiegė „Sliver Adversary Emulation Framework“, kad gautų tolesnę prieigą, ir bandė pažeisti neveikiantį duomenų centrą San Paule, Brazilijoje.

„Cloudflare“ greitas veiksmų planas

Kol užpuolikai pasiekė ir atsisiuntė šaltinio kodo saugyklas, „Cloudflare“ nedelsdama sureagavo, pakeisdama užšifruotas paslaptis ir nutraukdama neteisėtas paskyras. Buvo įdiegtos ugniasienės taisyklės, kad užblokuotų užpuolikų IP adresus, ir imtasi daug saugumo priemonių, įskaitant visų „Cloudflare“ pasaulinio tinklo įrenginių atvaizdavimą ir paleidimą iš naujo.

Nepaisant kruopštaus „Cloudflare“ ir „CrowdStrike“ tyrimo, jokie įrodymai neparodė tolimesnio kompromiso, išskyrus pasiekiamas sistemas. Bendrovė išlieka budri, nuolat tobulindama savo saugumo priemones, siekdama užkirsti kelią būsimiems pažeidimams ir apsaugoti savo infrastruktūrą nuo sudėtingų grėsmių.