Цлоудфларе провалио осумњичени актер претње спонзорисан од државе који приступа изворном коду и интерним документима

Цлоудфларе, позната компанија за веб безбедност и мрежа за испоруку садржаја, недавно је обелоданила забрињавајућу повреду безбедности коју је организовао осумњичени актер претњи коју спонзорише држава. Инцидент, откривен 23. новембра, укључивао је неовлашћени приступ интерним системима путем украдених акредитива, који су првобитно компромитовани током хаковања Окта у октобру 2023.

Искоришћавање украдених акредитива

Актер претње је искористио ове акредитиве за инфилтрирање у Цлоудфларе-ов интерни вики и базу података о грешкама, спроводећи активности извиђања почевши од 14. новембра. Упркос сегментацији мреже која је ометала приступ одређеним критичним системима, нападачи су успели да продру у Цлоудфларе-ово АВС окружење и Атлассиан пакет, укључујући Јира и Цонфлуенце.

У оквиру Атлассиан пакета, нападачи су претраживали информације везане за Цлоудфларе мрежну инфраструктуру, фокусирајући се на кључне речи као што су „даљински приступ“, „тајна“ и „токен“. Чак су креирали и упоран Атлассиан налог како би осигурали стални приступ. Поред тога, применили су Сливер Адверсари Емулатион Фрамеворк да би добили даљи приступ и покушали да провале неоперативни центар података у Сао Паулу, Бразил.

Цлоудфлареов брзи акциони план

Док су нападачи приступали и преузимали спремишта изворног кода, Цлоудфларе је одмах реаговао ротирајући шифроване тајне и укидајући неовлашћене налоге. Примењена су правила заштитног зида како би се блокирале ИП адресе нападача, а предузете су и опсежне безбедносне мере, укључујући поновно снимање и поновно покретање свих машина унутар Цлоудфларе глобалне мреже.

Упркос темељној истрази коју су спровели Цлоудфларе и ЦровдСтрике, ниједан доказ није указивао на даљи компромис изван система којима се приступа. Компанија остаје на опрезу, непрестано побољшавајући своје безбедносне мере како би спречила будућа кршења и заштитила своју инфраструктуру од софистицираних претњи.