Cloudflare pārkāpis aizdomās turētais valsts sponsorēts draudu aktieris, piekļūstot avota kodam un iekšējiem dokumentiem
Cloudflare, labi pazīstams tīmekļa drošības uzņēmums un satura piegādes tīkls, nesen atklāja satraucošu drošības pārkāpumu, ko organizējis aizdomās turētais valsts sponsorēts apdraudējums. Incidents, kas tika atklāts 23. novembrī, bija saistīts ar nesankcionētu piekļuvi iekšējām sistēmām, izmantojot zagtus akreditācijas datus, kas sākotnēji tika apdraudēti 2023. gada oktobra Okta uzlaušanas laikā.
Nozagto akreditācijas datu izmantošana
Draudi izmantoja šos akreditācijas datus, lai iefiltrētos Cloudflare iekšējā wiki un kļūdu datu bāzē, veicot izlūkošanas darbības, sākot no 14. novembra. Neskatoties uz tīkla segmentāciju, kas kavē piekļuvi noteiktām kritiskām sistēmām, uzbrucējiem izdevās iekļūt Cloudflare AWS vidē un Atlassian komplektā, tostarp Jira un Confluence.
Atlassian komplektā uzbrucēji meklēja informāciju, kas saistīta ar Cloudflare tīkla infrastruktūru, koncentrējoties uz tādiem atslēgvārdiem kā "attālā piekļuve", "slepens" un "tokens". Viņi pat izveidoja pastāvīgu Atlassian kontu, lai nodrošinātu nepārtrauktu piekļuvi. Turklāt viņi izvietoja Sliver Adversary Emulation Framework, lai iegūtu papildu piekļuvi, un mēģināja uzlauzt nedarbojas datu centru Sanpaulu, Brazīlijā.
Cloudflare ātrā rīcības plāns
Kamēr uzbrucēji piekļuva pirmkoda krātuvēm un tos lejupielādēja, Cloudflare nekavējoties reaģēja, mainot šifrētos noslēpumus un pārtraucot nesankcionētu kontu darbību. Tika ieviesti ugunsmūra noteikumi, lai bloķētu uzbrucēju IP adreses, un tika veikti plaši drošības pasākumi, tostarp visu Cloudflare globālajā tīklā esošo mašīnu atkārtota attēlveidošana un pārstartēšana.
Neskatoties uz rūpīgo Cloudflare un CrowdStrike veikto izmeklēšanu, nekādi pierādījumi neliecināja par turpmākiem kompromisiem ārpus pieejamām sistēmām. Uzņēmums joprojām ir modrs, nepārtraukti uzlabojot savus drošības pasākumus, lai novērstu turpmākus pārkāpumus un aizsargātu savu infrastruktūru pret sarežģītiem draudiem.