Цлоудфларе представљен путем блога, извештај о хаку једног од сервера у својој инфраструктури, у извештају се детаљно описује инцидент који се догодио на „Дан захвалности 2023.“ и напомиње да је 23. новембра 2023. Хакер је приступио Атлассиан серверу компаније који сам хостује.
Овај сервер управљао интерним вики сајтом заснованим на платформи Атлассиан Цонфлуенце, Атлассиан Јира систем за праћење проблема и Битбуцкет систем за управљање кодом. Анализа је открила да је нападач успео да приступи серверу користећи токене добијене као резултат Окта хаковања у октобру, што је довело до цурења токена за приступ.
Након откривања Окта хакова, Цлоудфларе је започео процес ажурирања акредитива, кључева и токена који се користе преко Окта сервиса. Међутим, Откривено је да је, као резултат, један токен и три налога (међу неколико хиљада) остали су привржени а зато што ови акредитиви нису замењени, нападач је искористио овај превид.
Желимо да нагласимо нашим клијентима да овај догађај није утицао на Цлоудфларе корисничке податке или системе. Због наших контрола приступа, правила заштитног зида и употребе физичких безбедносних кључева примењених преко наших сопствених алата Зеро Труст, способност актера претње да се креће бочно била је ограничена. Нису укључене никакве услуге и нису направљене никакве промене у нашим системима или конфигурацији глобалне мреже. Ово је обећање архитектуре нултог поверења: то је као преграде на броду где компромис у једном систему не може да угрози целу организацију.
Иако су се ови акредитиви сматрали неупотребљивим, у ствари, дозвољен приступ Атлассиан платформи, систем управљања кодом Битбуцкет, СааС апликација са административним приступом Атлассиан Јира окружењу и окружење у АВС-у који служи директоријуму апликације Цлоудфларе. Важно је да ово окружење нема приступ ЦДН инфраструктури и не складишти осетљиве податке.
Инцидент није утицао на податке или системе Цлоудфларе корисника. Ревизијом је утврђено да је напад био ограничен на системе који користе Атлассиан производе и да се није проширио на друге сервере. Ово се приписује Цлоудфларе-овом моделу Зеро Труст и изолацији делова инфраструктуре, што је ограничило ширење напада. Цлоудфларе помиње да је такође имплементирао правила заштитног зида да блокира познате ИП адресе нападача и да је оквир за емулацију Сливер Адверсари уклоњен 24. новембра.
Помиње се да је хак сервера Цлоудфларе откривен 23. новембра, али Први знаци неовлашћеног приступа вики и систему за праћење проблема забележени су 14. новембра. Дана 22. новембра, нападач је инсталирао бацкдоор да би добио стални приступ, користећи СцриптРуннер за Јира. Истог дана, нападач је такође добио приступ контролном систему који је користио Атлассиан Битбуцкет платформу. Касније је учињен покушај да се повеже са сервером конзоле који се користи за приступ центру података у Бразилу који још није пуштен у рад, али су сви покушаји повезивања одбијени.
Очигледно Активност нападача била је ограничена на проучавање архитектуре мреже за дистрибуцију садржаја и тражити слабе тачке. Користио је вики претрагу за кључне речи које се односе на даљински приступ, тајне, опенцоннецт, цлоудфларе и токене.
Нападач је приступио 202 вики странице (од 194,100) и 36 извештаја о проблемима (од 2,059,357) у вези са управљањем рањивостима и ротацијом кључева. Откривено је и преузимање 120 репозиторија кода (од укупно 11,904), које се углавном односе на прављење резервних копија, конфигурацију и управљање ЦДН-ом, системе идентитета, даљински приступ и коришћење Терраформ и Кубернетес платформи. Нека од складишта садржала су шифроване кључеве остављене у коду, који су замењени одмах након инцидента, упркос употреби поузданих метода шифровања.
коначно ако јеси заинтересовани да сазнају више о томе, можете проверити детаље У следећем линку.