Cloudflare a fost încălcat de un presupus actor de amenințare sponsorizat de stat care accesează codul sursă și documentele interne
Cloudflare, o companie binecunoscută de securitate web și o rețea de livrare de conținut, a dezvăluit recent o încălcare a securității orchestrată de un presupus actor de amenințare sponsorizat de stat. Incidentul, dezvăluit pe 23 noiembrie, a implicat accesul neautorizat la sistemele interne prin acreditări furate, compromise inițial în timpul hack-ului Okta din octombrie 2023.
Exploatarea acreditărilor furate
Actorul amenințării a exploatat aceste acreditări pentru a se infiltra în wiki internă și baza de date de bug-uri a Cloudflare, desfășurând activități de recunoaștere începând cu 14 noiembrie. În ciuda segmentării rețelei care împiedica accesul la anumite sisteme critice, atacatorii au reușit să pătrundă în mediul AWS Cloudflare și suita Atlassian, inclusiv Jira și Confluence.
În cadrul suitei Atlassian, atacatorii au căutat informații legate de infrastructura de rețea a Cloudflare, concentrându-se pe cuvinte cheie precum „acces la distanță”, „secret” și „token”. Au creat chiar și un cont Atlassian persistent pentru a asigura accesul continuu. În plus, au implementat Sliver Adversary Emulation Framework pentru a obține acces suplimentar și au încercat să spargă un centru de date neoperațional din São Paulo, Brazilia.
Planul de acțiune rapid al Cloudflare
În timp ce atacatorii au accesat și descărcat depozite de cod sursă, Cloudflare a răspuns prompt prin rotirea secretelor criptate și închiderea conturilor neautorizate. Au fost implementate reguli de firewall pentru a bloca adresele IP ale atacatorilor și au fost luate măsuri extinse de securitate, inclusiv reimaginarea și repornirea tuturor mașinilor din rețeaua globală Cloudflare.
În ciuda investigației amănunțite de către Cloudflare și CrowdStrike, nicio dovadă nu a sugerat compromisuri suplimentare dincolo de sistemele accesate. Compania rămâne vigilentă, îmbunătățindu-și în mod continuu măsurile de securitate pentru a preveni viitoarele încălcări și pentru a-și proteja infrastructura împotriva amenințărilor sofisticate.