Компанія Cloudflare повідомила сьогодні, що її внутрішній сервер Atlassian був зламаний підозрюваним «зловмисником проти держави», який отримав доступ до вікі Confluence, бази даних помилок Jira та системи управління вихідним кодом Bitbucket.
Зловмисник вперше отримав доступ до власного сервера Atlassian компанії Cloudflare 14 листопада, а потім, провівши розвідку, отримав доступ до систем Confluence та Jira компанії.
Потім вони повернулися 22 листопада і встановили постійний доступ до нашого сервера Atlassian за допомогою ScriptRunner для Jira, отримали доступ до нашої системи управління вихідним кодом (яка використовує Atlassian Bitbucket) і безрезультатно намагалися отримати доступ до консольного сервера, який мав доступ до дата-центру, який Cloudflare ще не ввела у експлуатацію в Сан-Паулу, Бразилія.
— повідомили генеральний директор Cloudflare Метью Прінс, технічний директор Джон Грехем-Каммінг і директор з інформаційної безпеки Грант Бурзикас
Для доступу до її систем зловмисники використали один токен доступу та три облікових записи, викрадені під час попередньої компрометації, пов’язаної з витоком Okta (яка є важливою частиною систем кібербезпеки великих корпорацій) у жовтні 2023 року, який Cloudflare не змогла відновити, передає Bleeping Computer.
Cloudflare виявила зловмисну активність 23 листопада, вранці 24 листопада перервала доступ хакера, а через три дні, 26 листопада, її фахівці з кібербезпеки почали розслідування.
Під час вивчення деталей інциденту співробітники Cloudflare провели ротацію всіх виробничих облікових даних (понад 5 000 унікальних), фізичну сегментацію тестових і постановчих систем, виконали криміналістичне сортування 4 893 систем, створили новий образ і перезавантажили всі системи в глобальній мережі компанії, включаючи всі сервери Atlassian (Jira, Confluence і Bitbucket) і машини, до яких отримував доступ зловмисник.
Роботи з усунення наслідків закінчилися майже місяць тому, 5 січня, але компанія заявляє, що її співробітники все ще працюють над зміцненням програмного забезпечення, а також над управлінням обліковими даними й вразливостями.
Компанія заявляє, що це порушення не вплинуло на дані або системи клієнтів Cloudflare, її сервіси, глобальні мережеві системи або конфігурація також не постраждали.
Ґрунтуючись на нашій співпраці з колегами з індустрії та уряду, ми вважаємо, що ця атака була здійснена зловмисником проти національної держави (nation state attacker) з метою отримання постійного та широкого доступу до глобальної мережі Cloudflare.
Аналізуючи сторінки, до яких вони отримали доступ, проблеми з базою даних помилок і репозиторіями вихідного коду, здається, що вони шукали інформацію про архітектуру, безпеку та управління нашою глобальною мережею, без сумніву, з метою завоювання більш глибокого плацдарму.