Рубрики НовостиWTF

Cloudflare взломали в ноябре с помощью токенов, похищенных во время атаки на Okta

Опубликовал
Юрій Орос

Компания Cloudflare сообщила сегодня, что ее внутренний сервер Atlassian был взломан подозреваемым «злоумышленником против государства», который получил доступ к вики Confluence, базе данных ошибок Jira и системе управления исходным кодом Bitbucket.

Злоумышленник впервые получил доступ к собственному серверу Atlassian компании Cloudflare 14 ноября, а затем, проведя разведку, получил доступ к системам Confluence и Jira компании.

Затем они вернулись 22 ноября и установили постоянный доступ к нашему серверу Atlassian с помощью ScriptRunner для Jira, получили доступ к нашей системе управления исходным кодом (которая использует Atlassian Bitbucket) и безрезультатно пытались получить доступ к консольному серверу, который имел доступ к дата-центру, который Cloudflare еще не ввела в эксплуатацию в Сан-Паулу, Бразилия.

— сообщили генеральный директор Cloudflare Мэтью Принс, технический директор Джон Грэхем-Камминг и директор по информационной безопасности Грант Бурзикас

Для доступа к ее системам злоумышленники использовали один токен доступа и три учетных записи, похищенные во время предыдущей компрометации, связанной с утечкой Okta (которая является важной частью систем кибербезопасности крупных корпораций) в октябре 2023 года, которую Cloudflare не смогла восстановить, передает Bleeping Computer.

Онлайн-курс "Фінансовий директор" від Laba.
Опануйте інструменти управління грошовими потоками, ризиками та активами компанії, щоби перейти на посаду CFO.
Приєднатися до курсу

Cloudflare обнаружила злонамеренную активность 23 ноября, утром 24 ноября прервала доступ хакера, а через три дня, 26 ноября, ее специалисты по кибербезопасности начали расследование.

Во время изучения деталей инцидента сотрудники Cloudflare провели ротацию всех производственных учетных данных (более 5 000 уникальных), физическую сегментацию тестовых и постановочных систем, выполнили криминалистическую сортировку 4 893 систем, создали новый образ и перезагрузили все системы в глобальной сети компании, включая все серверы Atlassian (Jira, Confluence и Bitbucket) и машины, к которым получал доступ злоумышленник.

Работы по устранению последствий закончились почти месяц назад, 5 января, но компания заявляет, что ее сотрудники все еще работают над укреплением программного обеспечения, а также над управлением учетными данными и уязвимостями.

Компания заявляет, что это нарушение не повлияло на данные или системы клиентов Cloudflare, ее сервисы, глобальные сетевые системы или конфигурация также не пострадали.

Основываясь на нашем сотрудничестве с коллегами из индустрии и правительства, мы считаем, что эта атака была осуществлена злоумышленником против национального государства (nation state attacker) с целью получения постоянного и широкого доступа к глобальной сети Cloudflare.

Анализируя страницы, к которым они получили доступ, проблемы с базой данных ошибок и репозиториями исходного кода, кажется, что они искали информацию об архитектуре, безопасности и управлении нашей глобальной сетью, без сомнения, с целью завоевания более глубокого плацдарма.

Disqus Comments Loading...
Поделитесь в соцсетях
Опубликовал
Юрій Орос