Компания Cloudflare сообщила сегодня, что ее внутренний сервер Atlassian был взломан подозреваемым «злоумышленником против государства», который получил доступ к вики Confluence, базе данных ошибок Jira и системе управления исходным кодом Bitbucket.
Злоумышленник впервые получил доступ к собственному серверу Atlassian компании Cloudflare 14 ноября, а затем, проведя разведку, получил доступ к системам Confluence и Jira компании.
Затем они вернулись 22 ноября и установили постоянный доступ к нашему серверу Atlassian с помощью ScriptRunner для Jira, получили доступ к нашей системе управления исходным кодом (которая использует Atlassian Bitbucket) и безрезультатно пытались получить доступ к консольному серверу, который имел доступ к дата-центру, который Cloudflare еще не ввела в эксплуатацию в Сан-Паулу, Бразилия.
— сообщили генеральный директор Cloudflare Мэтью Принс, технический директор Джон Грэхем-Камминг и директор по информационной безопасности Грант Бурзикас
Для доступа к ее системам злоумышленники использовали один токен доступа и три учетных записи, похищенные во время предыдущей компрометации, связанной с утечкой Okta (которая является важной частью систем кибербезопасности крупных корпораций) в октябре 2023 года, которую Cloudflare не смогла восстановить, передает Bleeping Computer.
Cloudflare обнаружила злонамеренную активность 23 ноября, утром 24 ноября прервала доступ хакера, а через три дня, 26 ноября, ее специалисты по кибербезопасности начали расследование.
Во время изучения деталей инцидента сотрудники Cloudflare провели ротацию всех производственных учетных данных (более 5 000 уникальных), физическую сегментацию тестовых и постановочных систем, выполнили криминалистическую сортировку 4 893 систем, создали новый образ и перезагрузили все системы в глобальной сети компании, включая все серверы Atlassian (Jira, Confluence и Bitbucket) и машины, к которым получал доступ злоумышленник.
Работы по устранению последствий закончились почти месяц назад, 5 января, но компания заявляет, что ее сотрудники все еще работают над укреплением программного обеспечения, а также над управлением учетными данными и уязвимостями.
Компания заявляет, что это нарушение не повлияло на данные или системы клиентов Cloudflare, ее сервисы, глобальные сетевые системы или конфигурация также не пострадали.
Основываясь на нашем сотрудничестве с коллегами из индустрии и правительства, мы считаем, что эта атака была осуществлена злоумышленником против национального государства (nation state attacker) с целью получения постоянного и широкого доступа к глобальной сети Cloudflare.
Анализируя страницы, к которым они получили доступ, проблемы с базой данных ошибок и репозиториями исходного кода, кажется, что они искали информацию об архитектуре, безопасности и управлении нашей глобальной сетью, без сомнения, с целью завоевания более глубокого плацдарма.