Cloudflare brutt av mistenkt statsstøttet trusselaktør som får tilgang til kildekode og interne dokumenter

Cloudflare, et velkjent nettsikkerhetsselskap og innholdsleveringsnettverk, avslørte nylig et angående sikkerhetsbrudd orkestrert av en mistenkt statsstøttet trusselaktør. Hendelsen, som ble avduket 23. november, involverte uautorisert tilgang til interne systemer gjennom stjålet legitimasjon, først kompromittert under Okta-hacket i oktober 2023.

Utnyttelse av stjålet legitimasjon

Trusselaktøren utnyttet disse legitimasjonene til å infiltrere Cloudflares interne wiki- og feildatabase, og gjennomførte rekognoseringsaktiviteter fra 14. november. Til tross for nettverkssegmentering som hindret tilgang til visse kritiske systemer, klarte angriperne å trenge gjennom Cloudflares AWS-miljø og Atlassian-suite, inkludert Jira og Confluence.

Innenfor Atlassian-pakken letet angriperne etter informasjon relatert til Cloudflares nettverksinfrastruktur, med fokus på nøkkelord som «fjerntilgang», «hemmelig» og «token». De opprettet til og med en vedvarende Atlassian-konto for å sikre fortsatt tilgang. I tillegg implementerte de Sliver Adversary Emulation Framework for å få ytterligere tilgang og forsøkte å bryte et ikke-operativt datasenter i São Paulo, Brasil.

Cloudflares Swift-handlingsplan

Mens angriperne fikk tilgang til og lastet ned kildekodelagre, svarte Cloudflare umiddelbart ved å rotere krypterte hemmeligheter og avslutte uautoriserte kontoer. Brannmurregler ble implementert for å blokkere angripernes IP-adresser, og omfattende sikkerhetstiltak ble iverksatt, inkludert re-avbildning og omstart av alle maskiner innenfor Cloudflares globale nettverk.

Til tross for den grundige etterforskningen av Cloudflare og CrowdStrike, tydet ingen bevis på ytterligere kompromisser utover de tilgang til systemene. Selskapet er fortsatt årvåkent, og forbedrer kontinuerlig sine sikkerhetstiltak for å forhindre fremtidige brudd og beskytte infrastrukturen mot sofistikerte trusler.