Cloudflare révèle une attaque d'un État-nation contre son infrastructure

Cloudflare, le leader de l'infrastructure Web, a révélé publiquement les détails d’une attaque hautement sophistiquée contre un État-nation qui déplié entre Novembre 14 et 24, 2023. Les assaillants, utiliser des informations d'identification volées, obtenu un accès non autorisé aux informations de Cloudflare Serveur Atlassian, leur permettant de violer la documentation et d'accéder à une quantité limitée de code source. L'entreprise, reconnaître la gravité de l'incident, a répondu de manière proactive avec une réparation de sécurité complète.

Anatomie de la brèche Cloudflare

L'attaque de l'État-nation contre Cloudflare a fait preuve d'un haut niveau de sophistication, caractérisé par une période de reconnaissance de quatre jours ciblant les portails Atlassian Confluence et Jira. Au cours de cette phase, l'acteur malveillant a créé un compte utilisateur Atlassian malveillant, sécuriser accès persistant au serveur. Le but ultime de la violation était de compromettre le système de gestion du code source de Bitbucket., obtenu grâce à l'utilisation du cadre de simulation d'adversaire Sliver.

À la suite de l'attaque, approximativement 120 les référentiels de code ont été consultés, avec une estimation 76 on pense qu'elle a été exfiltrée par les assaillants. Ces référentiels contenaient principalement des informations liées au fonctionnement des sauvegardes, la configuration et la gestion du réseau mondial, gestion des identités chez Cloudflare, accès à distance, et l'utilisation par l'entreprise de Terraform et Kubernetes. Un détail remarquable est qu'un petit nombre de référentiels contenaient des secrets cryptés., qui ont été rapidement pivotés malgré leur cryptage robuste.

Les attaquants, dont le motif était susceptible de devenir persistant et généralisé accès au réseau mondial de Cloudflare, réussi à accéder à une série d’informations cruciales. Cela comprenait des informations sur le fonctionnement des sauvegardes, les détails de la configuration du réseau mondial, et la gestion des identités chez Cloudflare. En outre, détails sur l'accès à distance, l'utilisation de Terraform et Kubernetes, et d'autres étaient recherchés.

L'attaque a été lancée avec un seul jeton d'accès compromis

L'attaque, initié avec la compromission d'un seul jeton d'accès et de trois informations d'identification de compte de service, a démontré une interruption significative dans la rotation des titres de compétences. Ces informations d'identification, associé à Amazon Web Services (AWS), Atlassian Bitbucket, Travaux de déménagement, et Smartsheet, ont été pillés au cours du mois d'octobre 2023 piratage du système de gestion des dossiers d'assistance d'Okta. Cloudflare a reconnu son oubli en ne faisant pas alterner ces informations d'identification, en supposant à tort qu'ils n'étaient pas utilisés.

Malgré la gravité de l'incident, Cloudflare a agi rapidement. Plus que 5,000 les qualifications de production ont été alternées, les systèmes de test et de préparation étaient physiquement segmentés, et des tris médico-légaux ont été effectués 4,893 systèmes. Aussi, toutes les machines du réseau mondial de Cloudflare ont été réimagées et redémarrées. L'entreprise a également demandé une évaluation indépendante de l'incident., faire appel à la société de cybersécurité CrowdStrike pour effectuer une évaluation approfondie.

Alors que la violation autorisait l'accès uniquement à l'environnement Atlassian de Cloudflare en utilisant les informations d'identification volées, les attaquants ont parcouru les pages wiki, problèmes de base de données de bogues, et référentiels de code source. Leur objectif était de recueillir des informations sur l'architecture, mesures de sécurité, et gestion du réseau mondial de Cloudflare. L'entreprise est maintenant renforcer ses mesures de sécurité et tirer les leçons de cette attaque sophistiquée pour renforcer davantage ses défenses contre de telles menaces à l'avenir.