Cloudflare 发布了一份有关其中一台服务器遭到黑客攻击的报告 

黑客

黑客成功破坏了基础设施

Cloudflare 亮相 通过博客文章, 关于黑客攻击的报告 该报告详细介绍了“2023 年感恩节”发生的事件,并指出 23 年 2023 月 XNUMX 日, 一名黑客访问了该公司的自托管 Atlassian 服务器。

该服务器 运营基于 Atlassian Confluence 平台的内部 wiki 网站、Atlassian Jira 问题跟踪系统和 Bitbucket 代码管理系统。分析显示,攻击者能够使用 10 月份 Okta 黑客攻击中获得的令牌来访问服务器,从而导致访问令牌泄露。

Okta 黑客事件披露后,Cloudflare 开始更新通过 Okta 服务使用的凭证、密钥和令牌。然而, 结果发现,一个token,三个账户 (数千人之中) 他们仍然致力于 正是因为这些凭据没有被替换,攻击者才利用了这一疏忽。

我们想向客户强调,此事件不会影响 Cloudflare 客户数据或系统。由于我们的访问控制、防火墙规则以及通过我们自己的零信任工具强制执行的物理安全密钥的使用,威胁行为者横向移动的能力受到限制。不涉及任何服务,也没有对我们的系统或全球网络配置进行任何更改。这是零信任架构的承诺:它就像一艘船上的舱壁,一个系统的妥协不会损害整个组织。

虽然这些凭证被认为无法使用,但事实上, 允许访问 Atlassian 平台, 代码管理系统 Bitbucket,一个 SaaS 应用程序 具有对 Atlassian Jira 环境的管理访问权限 以及AWS中的环境 它提供 Cloudflare 应用程序目录。重要的是,该环境无法访问 CDN 基础设施,也不存储敏感数据。

该事件没有影响 Cloudflare 用户的数据或系统。 审计确定该攻击仅限于运行 Atlassian 产品的系统,并未传播到其他服务器。这归因于 Cloudflare 的零信任模型和部分基础设施的隔离,限制了攻击的传播。 Cloudflare 提到,它还实施了防火墙规则来阻止已知的攻击者 IP 地址,并且 Sliver Adversary 模拟框架已于 24 月 XNUMX 日被删除。

据称,Cloudflare 服务器被黑客攻击是在 23 月 XNUMX 日发现的,但是 14 月 XNUMX 日记录了首次未经授权访问 wiki 和问题跟踪系统的迹象。 22 月 XNUMX 日,攻击者使用 ScriptRunner for Jira 安装后门以获得永久访问权限。同一天,攻击者还获得了对使用 Atlassian Bitbucket 平台的控制系统的访问权限。随后尝试连接到用于访问巴西尚未投入使用的数据中心的控制台服务器,但所有连接尝试均被拒绝。

显然, 攻击者的活动仅限于研究内容分发网络的架构 并寻找弱点。使用 wiki 搜索与远程访问、秘密、openconnect、cloudflare 和令牌相关的关键字。

攻击者访问了与漏洞管理和密钥轮换相关的 202 个 wiki 页面(共 194,100 个)和 36 个问题报告(共 2,059,357 个)。还检测到 120 个代码存储库(总共 11,904 个)的下载,大部分与 CDN 的备份、配置和管理、身份系统、远程访问以及 Terraform 和 Kubernetes 平台的使用有关。一些存储库包含代码中留下的加密密钥,尽管使用了可靠的加密方法,但这些密钥在事件发生后立即被替换。

最后,如果你是 有兴趣了解更多关于它的信息, 您可以查看详细信息 在下面的链接中。


成为第一个发表评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责数据:MiguelÁngelGatón
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。