Cloudflare взломали, используя токены аутентификации, украденные в ходе атаки на Okta

Сегодня компания Cloudflare сообщила, что ее внутренний сервер Atlassian был взломан предполагаемым "злоумышленником из национального государства", который получил доступ к вики-системе Confluence, базе данных ошибок Jira и системе управления исходным кодом Bitbucket.

Угрожающий субъект впервые получил доступ к самостоятельному серверу Atlassian компании Cloudflare 14 ноября, а затем получил доступ к системам Confluence и Jira компании после этапа разведки.

"Затем они вернулись 22 ноября и установили постоянный доступ к нашему серверу Atlassian с помощью ScriptRunner для Jira, получили доступ к нашей системе управления исходным кодом (которая использует Atlassian Bitbucket) и безуспешно попытались получить доступ к консольному серверу, который имел доступ к центру обработки данных, который Cloudflare еще не запустила в производство в Сан-Паулу, Бразилия", - заявили генеральный директор Cloudflare Мэтью Принс, технический директор Джон Грэм-Камминг и CISO Грант Бурзикас,

Для доступа к своим системам злоумышленники использовали один токен доступа и три учетных данных учетных записей служб, украденных во время предыдущей атаки, связанной с взломом Okta в октябре 2023 года, которые Cloudflare не удалось повернуть (из тысяч, которые были утечены во время взлома Okta).

Cloudflare обнаружила вредоносную активность 23 ноября, прервала доступ хакера утром 24 ноября, а ее специалисты по кибербезопасности начали расследование инцидента спустя три дня, 26 ноября.

В ходе расследования инцидента сотрудники Cloudflare сменили все производственные учетные данные (более 5 000 уникальных), физически разделили тестовые и промежуточные системы, провели судебную экспертизу 4893 систем, восстановили и перезагрузили все системы в глобальной сети компании, включая все серверы Atlassian (Jira, Confluence и Bitbucket) и машины, к которым получил доступ злоумышленник.

Угрожающие лица также пытались взломать центр обработки данных Cloudflare в Сан-Паулу, который пока не используется в производстве, но эти попытки не увенчались успехом. Все оборудование в бразильском дата-центре Cloudflare было впоследствии возвращено производителям, чтобы убедиться, что дата-центр на 100% безопасен.

Усилия по устранению последствий закончились почти месяц назад, 5 января, но компания утверждает, что ее сотрудники все еще работают над укреплением программного обеспечения, а также над управлением учетными данными и уязвимостями.

On Thanksgiving Day, November 23, 2023, Cloudflare detected a threat actor on our self-hosted Atlassian server. Our security team immediately began investigating, cut off the threat actor’s access, and no Cloudflare customer data or systems were impacted. https://t.co/sL5glOqDIZ

— Cloudflare (@Cloudflare) February 1, 2024

Компания утверждает, что это нарушение не повлияло на данные или системы клиентов Cloudflare; ее сервисы, глобальные сетевые системы или конфигурация также не были затронуты.

"Несмотря на то, что мы понимаем, что операционное воздействие инцидента крайне ограничено, мы отнеслись к нему очень серьезно, поскольку угрожающий субъект использовал украденные учетные данные для получения доступа к нашему серверу Atlassian и получил доступ к некоторой документации и ограниченному количеству исходного кода", - заявили Принс, Грэм-Камминг и Бурзикас.

"Основываясь на нашем сотрудничестве с коллегами из индустрии и правительства, мы считаем, что эта атака была совершена злоумышленником из национального государства с целью получения постоянного и широкомасштабного доступа к глобальной сети Cloudflare".

"Анализируя вики-страницы, к которым они обращались, базы данных ошибок и репозитории исходного кода, можно сделать вывод, что они искали информацию об архитектуре, безопасности и управлении нашей глобальной сетью; несомненно, с целью закрепиться в ней".

18 октября 2023 года инстанс Okta компании Cloudflare был взломан с помощью токена аутентификации, украденного из системы поддержки Okta. Хакеры, взломавшие систему поддержки клиентов Okta, также получили доступ к файлам, принадлежащим 134 клиентам, включая 1Password, BeyondTrust и Cloudflare.

После инцидента, произошедшего в октябре 2023 года, компания заявила, что оперативная реакция группы реагирования на инциденты безопасности позволила сдержать и минимизировать воздействие на системы и данные Cloudflare, и что информация или системы клиентов Cloudflare не были затронуты.

Еще одна попытка взлома систем Cloudflare была заблокирована в августе 2022 года после того, как злоумышленники попытались использовать учетные данные сотрудников, украденные в ходе фишинговой атаки, но потерпели неудачу, поскольку не имели доступа к выданным жертвам ключам безопасности, соответствующим стандарту FIDO2.