Cloudflare, der Marktführer im Bereich Web-Infrastruktur, hat die Einzelheiten eines äußerst raffinierten nationalstaatlichen Angriffs öffentlich enthüllt entfaltet zwischen November 14 und 24, 2023. Die Angreifer, Verwendung gestohlener Zugangsdaten, sich unbefugten Zugriff auf Cloudflare verschafft Atlassian-Server, Dies ermöglicht es ihnen, gegen die Dokumentation zu verstoßen und auf eine begrenzte Menge an Quellcode zuzugreifen. Das Unternehmen, Erkennen der Schwere des Vorfalls, reagierte proaktiv mit einer umfassenden Sicherheitsreparatur.
Anatomie der Cloudflare-Verletzung
Der nationalstaatliche Angriff auf Cloudflare zeigte ein hohes Maß an Raffinesse, gekennzeichnet durch eine viertägige Erkundungsphase, die auf Atlassian Confluence- und Jira-Portale abzielte. Während dieser Phase, Der Bedrohungsakteur hat ein betrügerisches Atlassian-Benutzerkonto erstellt, Sicherung Dauerhafter Zugriff auf den Server. Das ultimative Ziel des Verstoßes bestand darin, das Bitbucket-Quellcode-Verwaltungssystem zu kompromittieren, Dies wird durch die Verwendung des Sliver-Gegnersimulationsframeworks erreicht.
Als Folge des Angriffs, ca 120 Auf Code-Repositorys wurde zugegriffen, mit einer Schätzung 76 vermutlich von den Angreifern exfiltriert worden sein. Diese Repositorys enthielten hauptsächlich Informationen zur Funktionsweise von Backups, die Konfiguration und Verwaltung des globalen Netzwerks, Identitätsmanagement bei Cloudflare, Fernzugriff, und die Nutzung von Terraform und Kubernetes durch das Unternehmen. Ein bemerkenswertes Detail ist, dass eine kleine Anzahl von Repositories verschlüsselte Geheimnisse enthielten, die trotz ihrer robusten Verschlüsselung umgehend rotiert wurden.
Die Angreifer, deren Motiv wahrscheinlich hartnäckig und weit verbreitet bleiben würde Zugriff auf das globale Netzwerk von Cloudflare, gelang es, auf eine Reihe wichtiger Informationen zuzugreifen. Dazu gehörten Einblicke in die Funktionsweise von Backups, die Details der Konfiguration des globalen Netzwerks, und das Identitätsmanagement bei Cloudflare. Außerdem, Details zum Fernzugriff, die Verwendung von Terraform und Kubernetes, und mehr waren gefragt.
Der Angriff wurde nur mit einem kompromittierten Zugriffstoken eingeleitet
Der Angriff, initiiert mit der Kompromittierung von nur einem Zugriffstoken und drei Anmeldeinformationen für das Dienstkonto, zeigte einen erheblichen Fehler bei der Qualifikationsrotation. Diese Zeugnisse, mit Amazon Web Services verbunden (AWS), Atlassian Bitbucket, Moveworks, und Smartsheet, wurden im Oktober gestohlen 2023 Hack des Support-Case-Management-Systems von Okta. Cloudflare räumte ein, dass es ein Versehen begangen habe, indem es diese Anmeldeinformationen nicht rotieren ließ, fälschlicherweise davon ausgegangen, dass sie unbenutzt waren.
Trotz der Schwere des Vorfalls, Cloudflare hat schnell gehandelt. Mehr als 5,000 Die Produktionsqualifikationen wurden rotiert, Test- und Stagingsysteme wurden physisch segmentiert, und forensische Untersuchungen wurden durchgeführt 4,893 Systeme. Auch, Alle Maschinen im globalen Netzwerk von Cloudflare wurden neu abgebildet und neu gestartet. Das Unternehmen forderte außerdem eine unabhängige Beurteilung des Vorfalls, Beauftragung des Cybersicherheitsunternehmens CrowdStrike mit der Durchführung einer gründlichen Bewertung.
Während der Verstoß lediglich den Zugriff auf die Atlassian-Umgebung von Cloudflare mit den gestohlenen Anmeldeinformationen ermöglichte, Die Angreifer durchkämmten Wiki-Seiten, Probleme mit der Fehlerdatenbank, und Quellcode-Repositorys. Ihr Schwerpunkt lag auf dem Sammeln von Informationen über die Architektur, Sicherheitsmaßnahmen, und Management des globalen Netzwerks von Cloudflare. Das Unternehmen ist jetzt seine Sicherheitsmaßnahmen verstärken und aus diesem raffinierten Angriff zu lernen, um seine Abwehrkräfte gegen solche Bedrohungen in Zukunft weiter zu stärken.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: