Multi-License Discount Quote
Computer Security Cloudflare bị vi phạm bởi tác nhân đe dọa được nhà nước...

Cloudflare bị vi phạm bởi tác nhân đe dọa được nhà nước tài trợ truy cập mã nguồn và tài liệu nội bộ

Đến năm Mura năm Computer Security
Dịch sang:
Tiếng Việt Nam

Cloudflare, một công ty bảo mật web và mạng phân phối nội dung nổi tiếng, gần đây đã tiết lộ một vi phạm an ninh đáng lo ngại do một kẻ bị nghi ngờ là kẻ đe dọa được nhà nước tài trợ dàn dựng. Vụ việc được tiết lộ vào ngày 23 tháng 11, liên quan đến việc truy cập trái phép vào hệ thống nội bộ thông qua thông tin đăng nhập bị đánh cắp, ban đầu bị xâm phạm trong vụ hack Okta vào tháng 10 năm 2023.

Khai thác thông tin xác thực bị đánh cắp

Kẻ đe dọa đã khai thác những thông tin xác thực này để xâm nhập vào cơ sở dữ liệu lỗi và wiki nội bộ của Cloudflare, tiến hành các hoạt động trinh sát bắt đầu từ ngày 14 tháng 11. Mặc dù việc phân đoạn mạng cản trở quyền truy cập vào một số hệ thống quan trọng nhất định, nhưng những kẻ tấn công đã tìm cách xâm nhập vào môi trường AWS và bộ Atlassian của Cloudflare, bao gồm cả Jira và Confluence.

Trong bộ Atlassian, những kẻ tấn công đã lùng sục thông tin liên quan đến cơ sở hạ tầng mạng của Cloudflare, tập trung vào các từ khóa như “truy cập từ xa”, “bí mật” và “mã thông báo”. Họ thậm chí còn tạo một tài khoản Atlassian liên tục để đảm bảo quyền truy cập liên tục. Ngoài ra, họ đã triển khai Khung mô phỏng đối thủ Sliver để có thêm quyền truy cập và cố gắng xâm nhập một trung tâm dữ liệu không hoạt động ở São Paulo, Brazil.

Kế hoạch hành động nhanh của Cloudflare

Trong khi những kẻ tấn công truy cập và tải xuống kho lưu trữ mã nguồn, Cloudflare đã kịp thời phản ứng bằng cách luân chuyển các bí mật được mã hóa và chấm dứt các tài khoản trái phép. Các quy tắc tường lửa đã được triển khai để chặn địa chỉ IP của kẻ tấn công và các biện pháp bảo mật mở rộng đã được thực hiện, bao gồm cả việc chụp ảnh lại và khởi động lại tất cả các máy trong mạng toàn cầu của Cloudflare.

Bất chấp sự điều tra kỹ lưỡng của Cloudflare và CrowdStrike, không có bằng chứng nào cho thấy sự xâm phạm sâu hơn ngoài các hệ thống được truy cập. Công ty vẫn cảnh giác, liên tục cải thiện các biện pháp bảo mật để ngăn chặn các vi phạm trong tương lai và bảo vệ cơ sở hạ tầng của mình trước các mối đe dọa tinh vi.

Đang tải...