Cloudflare, il leader nell'infrastruttura web, ha rivelato pubblicamente i dettagli di un attacco altamente sofisticato da parte di uno stato-nazione spiegato tra novembre 14 e 24, 2023. Gli assalitori, utilizzando credenziali rubate, ottenuto l'accesso non autorizzato a Cloudflare Server Atlassiano, consentendo loro di violare la documentazione e accedere a una quantità limitata di codice sorgente. L'azienda, riconoscendo la gravità dell’accaduto, ha risposto in modo proattivo con una riparazione completa della sicurezza.
Anatomia della Breccia Cloudflare
L’attacco dello stato-nazione a Cloudflare ha mostrato un alto livello di sofisticazione, caratterizzato da un periodo di ricognizione di quattro giorni che ha preso di mira i portali Atlassian Confluence e Jira. Durante questa fase, l'autore della minaccia ha creato un account utente Atlassian non autorizzato, messa in sicurezza accesso persistente al server. L'obiettivo finale della violazione era compromettere il sistema di gestione del codice sorgente Bitbucket, ottenuto attraverso l'uso del framework di simulazione dell'avversario Sliver.
Come risultato dell'attacco, circa 120 è stato effettuato l'accesso ai repository di codice, con una stima 76 si ritiene sia stato esfiltrato dagli aggressori. Questi repository contenevano principalmente informazioni relative al funzionamento dei backup, la configurazione e la gestione della rete globale, gestione delle identità su Cloudflare, accesso remoto, e l'uso da parte dell'azienda di Terraform e Kubernetes. Un dettaglio degno di nota è che un piccolo numero di repository conteneva segreti crittografati, che sono stati prontamente ruotati nonostante la loro solida crittografia.
Gli aggressori, il cui motivo era probabile che diventasse persistente e diffuso accesso alla rete globale di Cloudflare, riuscito ad accedere a una serie di informazioni cruciali. Ciò includeva approfondimenti su come funzionano i backup, i dettagli della configurazione della rete globale, e la gestione dell'identità presso Cloudflare. In aggiunta, dettagli sull'accesso remoto, l'uso di Terraform e Kubernetes, e altri furono ricercati.
L'attacco è stato avviato con un solo token di accesso compromesso
L'attacco, avviato con la compromissione di un solo token di accesso e tre credenziali dell'account di servizio, ha dimostrato un errore significativo nella rotazione delle credenziali. Queste credenziali, associato ad Amazon Web Services (AWS), Bitbucket di Atlassian, Moveworks, e Smartsheet, furono rubati durante il mese di ottobre 2023 hacking del sistema di gestione dei casi di supporto di Okta. Cloudflare ha riconosciuto la propria supervisione nel non aver ruotato queste credenziali, presumendo erroneamente che fossero inutilizzati.
Nonostante la gravità dell'incidente, Cloudflare ha agito rapidamente. Più di 5,000 le credenziali di produzione sono state ruotate, i sistemi di test e stadiazione erano fisicamente segmentati, e sono stati condotti triage forensi 4,893 sistemi. Anche, tutte le macchine sulla rete globale di Cloudflare sono state reimmaginate e riavviate. La società ha inoltre richiesto una valutazione indipendente dell'incidente, coinvolgere la società di sicurezza informatica CrowdStrike per eseguire una valutazione approfondita.
Mentre la violazione ha consentito l'accesso solo all'ambiente Atlassian di Cloudflare utilizzando le credenziali rubate, gli aggressori hanno setacciato le pagine wiki, problemi del database dei bug, e repository di codice sorgente. Il loro obiettivo era raccogliere informazioni sull'architettura, misure di sicurezza, e gestione della rete globale di Cloudflare. L'azienda è adesso rafforzando le sue misure di sicurezza e imparare da questo attacco sofisticato per rafforzare ulteriormente le proprie difese contro tali minacce in futuro.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: