Cloudflare, ウェブインフラストラクチャのリーダー, は、高度に洗練された国家攻撃の詳細を公に明らかにした。 展開された 11月の間 14 と 24, 2023. 襲撃者たち, 盗まれた認証情報を使用する, Cloudflareへの不正アクセスを取得した アトラシアンサーバー, ドキュメントを侵害し、限られた量のソースコードにアクセスすることを許可します。. 会社, 事件の重大さを認識する, 包括的なセキュリティ修復により積極的に対応しました.
Cloudflare 侵害の構造
Cloudflareに対する国家による攻撃は高度な巧妙さを示した, Atlassian Confluence と Jira ポータルを対象とした 4 日間の偵察期間が特徴です. このフェーズ中, 攻撃者は不正な Atlassian ユーザー アカウントを作成しました, 確保する サーバーへの永続的なアクセス. この侵害の最終的な目的は、Bitbucket ソース コード管理システムを侵害することでした, Sliver 敵対的シミュレーション フレームワークの使用によって実現.
攻撃の結果として, 約 120 コードリポジトリにアクセスしました, 推定値付き 76 攻撃者によって持ち出されたと考えられている. これらのリポジトリには主にバックアップの動作に関連する情報が含まれていました。, グローバルネットワークの構成と管理, Cloudflareでのアイデンティティ管理, リモートアクセス, 同社による Terraform と Kubernetes の使用. 注目すべき詳細は、少数のリポジトリに暗号化されたシークレットが含まれていることです。, 堅牢な暗号化にもかかわらず、即座にローテーションされた.
攻撃者たち, その動機は永続的かつ広範囲に及ぶ可能性が高い Cloudflareのグローバルネットワークへのアクセス, さまざまな重要な情報にアクセスすることができた. これには、バックアップがどのように機能するかについての洞察が含まれます, グローバルネットワークの構成の詳細, Cloudflare でのアイデンティティの管理. 加えて, リモートアクセスの詳細, Terraform と Kubernetes の使用, そしてさらに求められました.
侵害されたアクセス トークン 1 つだけを使用して攻撃が開始されました
攻撃, わずか 1 つのアクセス トークンと 3 つのサービス アカウント資格情報の侵害によって開始されました, 資格情報のローテーションが大幅に失われていることが実証されました. これらの資格情報, アマゾン ウェブ サービスに関連する (AWS), アトラシアン Bitbucket, ムーブワークス, とスマートシート, 10月中に盗まれた 2023 Okta のサポート ケース管理システムのハッキング. Cloudflareは、これらの認証情報のローテーションを怠ったことについての見落としを認めた, 未使用だと誤って認識した.
事件の深刻さにも関わらず, Cloudflareは迅速な行動をとった. より多い 5,000 本番環境の認証情報がローテーションされました, テストおよびステージング システムは物理的にセグメント化されていた, 法医学的トリアージが実施されました 4,893 システム. また, Cloudflareのグローバルネットワーク上のすべてのマシンが再イメージ化され、再起動されました. 同社はまた、この事件について独立した評価を求めた, サイバーセキュリティ企業CrowdStrikeと協力して徹底的な評価を実施.
この侵害により、盗まれた認証情報を使用した Cloudflare の Atlassian 環境へのアクセスのみが許可されました。, 攻撃者はウィキページをくまなく調べた, バグデータベースの問題, およびソースコードリポジトリ. 彼らは建築に関する情報を収集することに重点を置きました。, セキュリティ対策, Cloudflareのグローバルネットワークの管理. その会社は今、 セキュリティ対策を強化する そして、この高度な攻撃から学び、将来そのような脅威に対する防御をさらに強化します。.