Cloudflare geschonden door vermoedelijke door de staat gesponsorde bedreigingsacteur die toegang heeft tot de broncode en interne documenten

Cloudflare, een bekend webbeveiligingsbedrijf en netwerk voor de levering van inhoud, heeft onlangs een zorgwekkende inbreuk op de beveiliging bekendgemaakt, georkestreerd door een vermoedelijk door de staat gesponsorde dreiging. Het incident, dat op 23 november werd onthuld, betrof de ongeoorloofde toegang tot interne systemen via gestolen inloggegevens, aanvankelijk gecompromitteerd tijdens de Okta-hack van oktober 2023.

Gestolen inloggegevens exploiteren

De bedreigingsacteur misbruikte deze inloggegevens om de interne wiki en bugdatabase van Cloudflare te infiltreren en voerde vanaf 14 november verkenningsactiviteiten uit. Ondanks netwerksegmentatie die de toegang tot bepaalde kritieke systemen belemmerde, slaagden de aanvallers erin om de AWS-omgeving en Atlassian-suite van Cloudflare binnen te dringen, waaronder Jira en Confluence.

Binnen de Atlassian-suite zochten de aanvallers naar informatie met betrekking tot de netwerkinfrastructuur van Cloudflare, waarbij ze zich concentreerden op trefwoorden als ‘externe toegang’, ‘geheim’ en ‘token’. Ze hebben zelfs een persistent Atlassian-account aangemaakt om voortdurende toegang te garanderen. Bovendien hebben ze het Sliver Adversary Emulation Framework ingezet om verdere toegang te krijgen en geprobeerd een niet-operationeel datacenter in São Paulo, Brazilië, binnen te dringen.

Het snelle actieplan van Cloudflare

Terwijl de aanvallers toegang kregen tot broncodeopslagplaatsen en deze downloadden, reageerde Cloudflare onmiddellijk door versleutelde geheimen te roteren en ongeautoriseerde accounts te beëindigen. Er werden firewallregels geïmplementeerd om de IP-adressen van de aanvallers te blokkeren, en er werden uitgebreide beveiligingsmaatregelen genomen, waaronder het opnieuw imagen en opnieuw opstarten van alle machines binnen het wereldwijde netwerk van Cloudflare.

Ondanks het grondige onderzoek door Cloudflare en CrowdStrike, suggereerde geen enkel bewijs verdere compromittering buiten de geraadpleegde systemen. Het bedrijf blijft waakzaam en verbetert voortdurend zijn beveiligingsmaatregelen om toekomstige inbreuken te voorkomen en zijn infrastructuur te beschermen tegen geavanceerde bedreigingen.