Haker je uspio da ugrozi infrastrukturu
Cloudflare predstavljen putem bloga, izvještaj o haku jednog od servera u njegovoj infrastrukturi, u izvještaju se detaljno opisuje incident koji se dogodio na "Dan zahvalnosti 2023." i napominje da je 23. novembra 2023. Haker je pristupio Atlassian serveru kompanije koji je samostalno hostovao.
Ovaj server upravljao internom wiki lokacijom zasnovanom na Atlassian Confluence platformi, Atlassian Jira sistem za praćenje problema i Bitbucket sistem za upravljanje kodom. Analiza je otkrila da je napadač uspeo da pristupi serveru koristeći tokene dobijene kao rezultat Okta hakovanja u oktobru, što je dovelo do curenja tokena za pristup.
Nakon otkrivanja Okta hacka, Cloudflare je započeo proces ažuriranja akreditiva, ključeva i tokena koji se koriste putem Okta servisa. Kako god, Otkriveno je da, kao rezultat, jedan token i tri računa (među nekoliko hiljada) ostali su privrženi a zato što ovi akreditivi nisu zamijenjeni, napadač je iskoristio ovaj previd.
Želimo da naglasimo našim klijentima da ovaj događaj nije uticao na Cloudflare korisničke podatke ili sisteme. Zbog naših kontrola pristupa, pravila zaštitnog zida i upotrebe fizičkih sigurnosnih ključeva nametnutih našim vlastitim alatima Zero Trust, sposobnost aktera prijetnje da se kreće bočno bila je ograničena. Nisu uključene nikakve usluge niti su napravljene nikakve promjene u našim sistemima ili konfiguraciji globalne mreže. Ovo je obećanje arhitekture Zero Trust: to je kao pregrade na brodu gdje kompromis u jednom sistemu ne može ugroziti cijelu organizaciju.
Iako su se ovi akreditivi smatrali neupotrebljivim, u stvari, dozvoljen pristup Atlassian platformi, sistem upravljanja kodom Bitbucket, SaaS aplikacija sa administrativnim pristupom Atlassian Jira okruženju i okruženje u AWS-u koji opslužuje Cloudflare aplikacijski direktorij. Važno je da ovo okruženje nema pristup CDN infrastrukturi i ne pohranjuje osjetljive podatke.
Incident nije uticao na podatke ili sisteme korisnika Cloudflarea. Revizijom je utvrđeno da je napad bio ograničen na sisteme koji koriste Atlassian proizvode i da se nije proširio na druge servere. Ovo se pripisuje Cloudflareovom modelu Zero Trust i izolaciji dijelova infrastrukture, što je ograničilo širenje napada. Cloudflare spominje da je također implementirao pravila zaštitnog zida kako bi blokirao poznate IP adrese napadača i da je okvir za emulaciju Sliver Adversary uklonjen 24. novembra.
Pominje se da je hak servera Cloudflare otkriven 23. novembra, ali Prvi znaci neovlašćenog pristupa wikiju i sistemu za praćenje problema zabilježeni su 14. novembra. Dana 22. novembra, napadač je instalirao backdoor da bi dobio stalni pristup, koristeći ScriptRunner za Jira. Istog dana, napadač je dobio i pristup kontrolnom sistemu koji je koristio Atlassian Bitbucket platformu. Nakon toga je učinjen pokušaj da se poveže sa serverom konzole koji se koristi za pristup data centru u Brazilu koji još nije bio pušten u rad, ali su svi pokušaji povezivanja odbijeni.
Izgleda, Aktivnost napadača bila je ograničena na proučavanje arhitekture mreže za distribuciju sadržaja i tražiti slabe tačke. Koristio je wiki pretragu za ključne riječi koje se odnose na daljinski pristup, tajne, openconnect, cloudflare i tokene.
Napadač je pristupio 202 wiki stranice (od 194,100) i 36 izvještaja o problemima (od 2,059,357) koji se odnose na upravljanje ranjivostima i rotaciju ključeva. Detektovano je i preuzimanje 120 repozitorija koda (od ukupno 11,904), koje se uglavnom odnose na sigurnosnu kopiju, konfiguraciju i upravljanje CDN-om, sisteme identiteta, daljinski pristup i korištenje Terraform i Kubernetes platformi. Neka od spremišta sadržavala su šifrirane ključeve ostavljene u kodu, koji su zamijenjeni odmah nakon incidenta, uprkos korištenju pouzdanih metoda šifriranja.
konačno ako jesi zainteresovani da saznaju više o tome, možete provjeriti detalje Na sledećem linku.