Cloudflare överträtt av misstänkt statligt sponsrad hotaktör som får tillgång till källkod och interna dokument

Cloudflare, ett välkänt webbsäkerhetsföretag och innehållsleveransnätverk, avslöjade nyligen ett angående säkerhetsbrott som orkestrerats av en misstänkt statligt sponsrad hotaktör. Incidenten, som avslöjades den 23 november, involverade obehörig åtkomst till interna system genom stulna referenser, som först komprometterades under Okta-hacket i oktober 2023.

Utnyttja stulna inloggningsuppgifter

Hotaktören utnyttjade dessa referenser för att infiltrera Cloudflares interna wiki- och buggdatabas, och genomförde spaningsaktiviteter med start den 14 november. Trots nätverkssegmentering som hindrade åtkomst till vissa kritiska system, lyckades angriparna penetrera Cloudflares AWS-miljö och Atlassian-sviten, inklusive Jira och Confluence.

Inom Atlassian-sviten letade angriparna efter information relaterad till Cloudflares nätverksinfrastruktur, med fokus på nyckelord som "fjärråtkomst", "hemlig" och "token". De skapade till och med ett beständigt Atlassian-konto för att säkerställa fortsatt åtkomst. Dessutom distribuerade de Sliver Adversary Emulation Framework för att få ytterligare åtkomst och försökte bryta ett icke-operativt datacenter i São Paulo, Brasilien.

Cloudflares Swift Action Plan

Medan angriparna gick åt och laddade ner källkodsförråd, svarade Cloudflare omedelbart genom att rotera krypterade hemligheter och avsluta obehöriga konton. Brandväggsregler implementerades för att blockera angriparnas IP-adresser, och omfattande säkerhetsåtgärder vidtogs, inklusive ombildande och omstart av alla maskiner inom Cloudflares globala nätverk.

Trots den grundliga undersökningen av Cloudflare och CrowdStrike, tydde inga bevis på ytterligare kompromisser utöver de tillgängliga systemen. Företaget är fortfarande vaksamt och förbättrar kontinuerligt sina säkerhetsåtgärder för att förhindra framtida intrång och skydda sin infrastruktur mot sofistikerade hot.