CloudFlare, førende inden for web-infrastruktur, har offentligt afsløret detaljerne i et meget sofistikeret nationalstatsangreb, der udfoldet fra november 14 og 24, 2023. Overfaldsmændene, ved at bruge stjålne legitimationsoplysninger, fik uautoriseret adgang til Cloudflares Atlassian server, giver dem mulighed for at bryde dokumentationen og få adgang til en begrænset mængde kildekode. Virksomheden, anerkender hændelsens alvor, reagerede proaktivt med en omfattende sikkerhedsreparation.
Anatomi af Cloudflare Breach
Nationalstatsangrebet på Cloudflare viste et højt niveau af sofistikering, kendetegnet ved en fire-dages rekognosceringsperiode, der var rettet mod Atlassian Confluence og Jira-portalerne. I denne fase, trusselsaktøren oprettede en useriøs Atlassian-brugerkonto, sikring vedvarende adgang til serveren. Bruddets ultimative mål var at kompromittere Bitbucket-kildekodestyringssystemet, opnås ved brug af Sliver adversary simulation framework.
Som et resultat af angrebet, rundt regnet 120 kodelagre blev tilgået, med et anslået 76 menes at være blevet eksfiltreret af angriberne. Disse depoter indeholdt primært information relateret til sikkerhedskopiers funktion, konfiguration og styring af det globale netværk, identitetsstyring hos Cloudflare, fjernadgang, og virksomhedens brug af Terraform og Kubernetes. En bemærkelsesværdig detalje er, at et lille antal depoter indeholdt krypterede hemmeligheder, som omgående blev roteret på trods af deres robuste kryptering.
Angriberne, hvis motiv sandsynligvis ville få vedvarende og udbredt adgang til Cloudflares globale netværk, formået at få adgang til en række vigtige oplysninger. Dette omfattede indsigt i, hvordan backups fungerer, detaljerne om det globale netværks konfiguration, og administration af identitet hos Cloudflare. Desuden, detaljer om fjernadgang, brugen af Terraform og Kubernetes, og flere blev søgt efter.
Angrebet blev indledt med kun ét kompromitteret adgangstoken
angrebet, initieret med kompromittering af kun ét adgangstoken og tre servicekontolegitimationsoplysninger, påvist et betydeligt bortfald i legitimationsrotation. Disse legitimationsoplysninger, forbundet med Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks, og Smartsheet, blev stjålet i løbet af oktober 2023 hack af Oktas supportsagsbehandlingssystem. Cloudflare erkendte sit tilsyn med at undlade at rotere disse legitimationsoplysninger, fejlagtigt antaget, at de var ubrugte.
På trods af hændelsens alvor, Cloudflare tog hurtig handling. Mere end 5,000 produktionslegitimation blev roteret, test- og iscenesættelsessystemer blev fysisk segmenteret, og retsmedicinske undersøgelser blev gennemført på 4,893 systemer. Også, alle maskiner på tværs af Cloudflares globale netværk blev reimaget og genstartet. Virksomheden søgte også en uafhængig vurdering af hændelsen, engagere cybersikkerhedsfirmaet CrowdStrike til at udføre en grundig evaluering.
Mens bruddet kun tillod adgang til Cloudflares Atlassian-miljø ved hjælp af de stjålne legitimationsoplysninger, angriberne finkæmmet wiki-sider, fejldatabaseproblemer, og kildekodedepoter. Deres fokus var på at indsamle information om arkitekturen, sikkerhedsforanstaltninger, og ledelse af Cloudflares globale netværk. Virksomheden er nu styrkelse af sine sikkerhedsforanstaltninger og lære af dette sofistikerede angreb for yderligere at styrke sit forsvar mod sådanne trusler i fremtiden.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: