Nagawa ng isang hacker na ikompromiso ang imprastraktura
Inihayag ang Cloudflare sa pamamagitan ng isang post sa blog, isang ulat sa hack ng isa sa mga server sa imprastraktura nito, idinetalye ng ulat ang insidenteng naganap noong "Araw ng Pasasalamat 2023" at binanggit na noong Nobyembre 23, 2023, Na-access ng isang hacker ang server ng Atlassian na self-host ng kumpanya.
Ang server na ito nagpatakbo ng isang panloob na site ng wiki batay sa platform ng Atlassian Confluence, ang sistema ng pagsubaybay sa isyu ng Atlassian Jira, at ang sistema ng pamamahala ng code ng Bitbucket. Ang pagsusuri ay nagsiwalat na ang umaatake ay nakakuha ng access sa server gamit ang mga token na nakuha bilang resulta ng Okta hack noong Oktubre, na nagresulta sa pag-leak ng mga access token.
Matapos ang pagbubunyag ng Okta hack, Sinimulan ng Cloudflare ang proseso ng pag-update ng mga kredensyal, susi, at token na ginamit sa pamamagitan ng mga serbisyo ng Okta. gayunpaman, Natuklasan na, bilang resulta, isang token at tatlong account (sa ilang libo) nanatili silang nakatuon at dahil hindi pinalitan ang mga kredensyal na ito kaya sinamantala ng umaatake ang pangangasiwa na ito.
Gusto naming bigyang-diin sa aming mga customer na ang kaganapang ito ay hindi nakaapekto sa data o mga system ng customer ng Cloudflare. Dahil sa aming mga kontrol sa pag-access, mga panuntunan sa firewall, at paggamit ng mga pisikal na key ng seguridad na ipinapatupad sa pamamagitan ng aming sariling mga tool sa Zero Trust, limitado ang kakayahan ng threat actor na lumipat sa gilid. Walang mga serbisyong kasangkot at walang mga pagbabagong ginawa sa aming mga system o pandaigdigang pagsasaayos ng network. Ito ang pangako ng arkitektura ng Zero Trust: ito ay tulad ng mga bulkhead sa isang barko kung saan ang isang kompromiso sa isang sistema ay hindi maaaring ikompromiso ang buong organisasyon.
Bagama't ang mga kredensyal na ito ay itinuturing na hindi magagamit, sa katunayan, pinapayagan ang pag-access sa platform ng Atlassian, ang sistema ng pamamahala ng code Bitbucket, isang SaaS application na may administratibong pag-access sa kapaligiran ng Atlassian Jira at isang kapaligiran sa AWS na nagsisilbi sa Cloudflare application directory. Mahalaga, ang kapaligirang ito ay walang access sa imprastraktura ng CDN at hindi nag-iimbak ng sensitibong data.
Hindi naapektuhan ng insidente ang data o system ng mga user ng Cloudflare. Natukoy ng isang pag-audit na ang pag-atake ay limitado sa mga system na nagpapatakbo ng mga produkto ng Atlassian at hindi kumalat sa ibang mga server. Ito ay nauugnay sa modelo ng Zero Trust ng Cloudflare at paghihiwalay ng mga bahagi ng imprastraktura, na naglimita sa pagkalat ng pag-atake. Binanggit ng Cloudflare na nagpatupad din ito ng mga panuntunan sa firewall upang harangan ang mga kilalang IP address ng attacker at na ang Sliver Adversary emulation framework ay inalis noong Nobyembre 24.
Nabanggit na ang Cloudflare server hack ay natuklasan noong Nobyembre 23, ngunit Ang mga unang palatandaan ng hindi awtorisadong pag-access sa wiki at sistema ng pagsubaybay sa isyu ay naitala noong Nobyembre 14. Noong Nobyembre 22, nag-install ang attacker ng backdoor para makakuha ng permanenteng access, gamit ang ScriptRunner para kay Jira. Nang araw ding iyon, nakakuha din ang attacker ng access sa control system, na gumamit ng Atlassian Bitbucket platform. Ang isang pagtatangka ay kasunod na ginawa upang kumonekta sa console server na ginamit upang ma-access ang isang data center sa Brazil na hindi pa nagagawa, ngunit ang lahat ng mga pagtatangka sa koneksyon ay tinanggihan.
Tila, Ang aktibidad ng umaatake ay limitado sa pag-aaral ng arkitektura ng network ng pamamahagi ng nilalaman at maghanap ng mga mahihinang punto. Gumamit ng paghahanap sa wiki para sa mga keyword na nauugnay sa malayuang pag-access, mga lihim, openconnect, cloudflare, at mga token.
Na-access ng attacker ang 202 wiki page (mula sa 194,100) at 36 na ulat ng isyu (mula sa 2,059,357) na nauugnay sa pamamahala ng kahinaan at pag-ikot ng key. Natukoy din ang pag-download ng 120 code repository (mula sa kabuuang 11,904), karamihan ay nauugnay sa backup, configuration at pamamahala ng CDN, identity system, remote access, at paggamit ng Terraform at Kubernetes platforms. Ang ilan sa mga repository ay naglalaman ng mga naka-encrypt na key na naiwan sa code, na pinalitan kaagad pagkatapos ng insidente, sa kabila ng paggamit ng mga maaasahang paraan ng pag-encrypt.
sa wakas kung ikaw nga interesadong malaman ang higit pa tungkol dito, maaari mong suriin ang mga detalye Sa sumusunod na link.