涉嫌國家資助的威脅行為者存取原始碼和內部文件破壞了 Cloudflare

Cloudflare 是一家著名的網路安全公司和內容交付網絡，最近披露了由疑似國家支持的威脅行為者策劃的令人擔憂的安全漏洞。該事件於 11 月 23 日公佈，涉及透過被盜憑證未經授權存取內部系統，這些憑證最初是在 2023 年 10 月的 Okta 駭客攻擊中受到損害。

利用被盜的憑證

威脅行為者利用這些憑證滲透到Cloudflare 的內部wiki 和bug 資料庫，並從11 月14 日開始進行偵察活動。儘管網路分段阻礙了對某些關鍵系統的訪問，但攻擊者還是成功滲透了Cloudflare 的AWS 環境和Atlassian 套件，包括Jira 和Confluence。

在 Atlassian 套件中，攻擊者會搜尋與 Cloudflare 網路基礎設施相關的訊息，重點是「遠端存取」、「秘密」和「令牌」等關鍵字。他們甚至創建了一個持久的 Atlassian 帳戶以確保持續存取。此外，他們還部署了 Sliver Adversary Emulation Framework 以獲得進一步的存取權限，並試圖破壞巴西聖保羅的一個非營運資料中心。

Cloudflare 的快速行動計劃

當攻擊者存取和下載原始碼儲存庫時，Cloudflare 立即回應，輪換加密機密並終止未經授權的帳戶。我們實施了防火牆規則來阻止攻擊者的 IP 位址，並採取了廣泛的安全措施，包括重新映像和重新啟動 Cloudflare 全球網路內的所有電腦。

儘管 Cloudflare 和 CrowdStrike 進行了徹底調查，但沒有證據表明除了被訪問的系統之外還有進一步的危害。該公司保持警惕，不斷改進其安全措施，以防止未來的違規行為並保護其基礎設施免受複雜的威脅。