Cloudflare, de leider in webinfrastructuur, heeft publiekelijk de details onthuld van een zeer geavanceerde natiestaataanval ontvouwd tussen november 14 en 24, 2023. De aanvallers, gebruik van gestolen inloggegevens, ongeautoriseerde toegang heeft verkregen tot die van Cloudflare Atlassian-server, waardoor ze de documentatie kunnen schenden en toegang kunnen krijgen tot een beperkte hoeveelheid broncode. Het bedrijf, het onderkennen van de ernst van het incident, proactief gereageerd met een uitgebreide beveiligingsreparatie.
Anatomie van de Cloudflare-inbreuk
De aanval van de natiestaten op Cloudflare vertoonde een hoog niveau van verfijning, gekenmerkt door een vierdaagse verkenningsperiode die zich richtte op Atlassian Confluence- en Jira-portals. Tijdens deze fase, de bedreigingsacteur heeft een frauduleus Atlassian-gebruikersaccount gemaakt, beveiligen permanente toegang tot de server. Het uiteindelijke doel van de inbreuk was het in gevaar brengen van het Bitbucket-broncodebeheersysteem, Dit wordt bereikt door het gebruik van het Sliver Adversary Simulation Framework.
Door de aanslag, ongeveer 120 codeopslagplaatsen werden benaderd, met een geschatte 76 vermoedelijk door de aanvallers geëxfiltreerd. Deze repositories bevatten voornamelijk informatie met betrekking tot de werking van back-ups, de configuratie en het beheer van het mondiale netwerk, identiteitsbeheer bij Cloudflare, toegang op afstand, en het gebruik van Terraform en Kubernetes door het bedrijf. Een opmerkelijk detail is dat een klein aantal repositories versleutelde geheimen bevatte, die ondanks hun robuuste codering snel werden gerouleerd.
De aanvallers, wiens motief waarschijnlijk hardnekkig en wijdverbreid zou blijven toegang tot het wereldwijde netwerk van Cloudflare, erin geslaagd toegang te krijgen tot een reeks cruciale informatie. Dit omvatte onder meer inzicht in de manier waarop back-ups functioneren, de details van de configuratie van het wereldwijde netwerk, en het beheer van identiteit bij Cloudflare. Bovendien, details over toegang op afstand, het gebruik van Terraform en Kubernetes, en er werd naar meer gezocht.
De aanval werd gestart met slechts één gecompromitteerd toegangstoken
De aanval, geïnitieerd met het compromitteren van slechts één toegangstoken en drie serviceaccountreferenties, toonde een significante vertraging in de rotatie van diploma’s aan. Deze referenties, geassocieerd met Amazon Web Services (AWS), Atlassian Bitbucket, Verplaatswerken, en Smartsheet, werden in oktober gestolen 2023 hack van Okta's support case management systeem. Cloudflare erkende zijn nalatigheid bij het niet rouleren van deze inloggegevens, ten onrechte aangenomen dat ze ongebruikt waren.
Ondanks de ernst van het incident, Cloudflare ondernam snel actie. Ruim 5,000 productiereferenties werden gerouleerd, test- en ensceneringssystemen waren fysiek gesegmenteerd, en forensische triages werden uitgevoerd 4,893 systemen. Ook, alle machines in het wereldwijde netwerk van Cloudflare zijn opnieuw geimaged en opnieuw opgestart. Het bedrijf vroeg ook om een onafhankelijke beoordeling van het incident, schakel cybersecuritybedrijf CrowdStrike in voor een grondige evaluatie.
Terwijl de inbreuk alleen toegang gaf tot de Atlassian-omgeving van Cloudflare met behulp van de gestolen inloggegevens, de aanvallers doorzochten wikipagina's, problemen met de bugdatabase, en broncodeopslagplaatsen. Hun focus lag op het verzamelen van informatie over de architectuur, veiligheids maatregelen, en beheer van het wereldwijde netwerk van Cloudflare. Het bedrijf is nu zijn veiligheidsmaatregelen te versterken en van deze geavanceerde aanval leren om de verdediging tegen dergelijke bedreigingen in de toekomst verder te versterken.