駭客成功破壞了基礎設施
Cloudflare 亮相 通過博客文章, 關於駭客攻擊的報告 該報告詳細介紹了「2023 年感恩節」發生的事件,並指出 23 年 2023 月 XNUMX 日, 一名駭客訪問了該公司的自託管 Atlassian 伺服器。
該服務器 經營基於 Atlassian Confluence 平台的內部 wiki 網站、Atlassian Jira 問題追蹤系統和 Bitbucket 程式碼管理系統。分析顯示,攻擊者能夠使用 10 月份 Okta 駭客攻擊中獲得的令牌來存取伺服器,導致存取權杖外洩。
Okta 駭客事件披露後,Cloudflare 開始更新透過 Okta 服務使用的憑證、金鑰和令牌。然而, 結果發現,一個token,三個帳戶 (數千人之中) 他們仍然致力於 正是因為這些憑證沒有被替換,攻擊者才利用了這項疏忽。
我們想向客戶強調,此事件不會影響 Cloudflare 客戶資料或系統。由於我們的存取控制、防火牆規則以及透過我們自己的零信任工具強制執行的實體安全金鑰的使用,威脅行為者橫向移動的能力受到限制。不涉及任何服務,也沒有對我們的系統或全球網路配置進行任何更改。這是零信任架構的承諾:它就像一艘船上的艙壁,一個系統的妥協不會傷害整個組織。
雖然這些憑證被認為無法使用,但事實上, 允許存取 Atlassian 平台, 代碼管理系統 Bitbucket,一個 SaaS 應用程式 具有對 Atlassian Jira 環境的管理存取權限 以及AWS中的環境 它提供 Cloudflare 應用程式目錄。重要的是,該環境無法存取 CDN 基礎設施,也不儲存敏感資料。
該事件沒有影響 Cloudflare 用戶的資料或系統。 審計確定該攻擊僅限於運行 Atlassian 產品的系統,並未傳播到其他伺服器。這歸因於 Cloudflare 的零信任模型和部分基礎設施的隔離,限制了攻擊的傳播。 Cloudflare 提到,它還實施了防火牆規則來阻止已知的攻擊者 IP 位址,而 Sliver Adversary 模擬框架已於 24 月 XNUMX 日被刪除。
據稱,Cloudflare 伺服器被駭客攻擊是在 23 月 XNUMX 日發現的,但是 14 月 XNUMX 日記錄了首次未經授權存取 wiki 和問題追蹤系統的跡象。 22 月 XNUMX 日,攻擊者使用 ScriptRunner for Jira 安裝後門以獲得永久存取權限。同一天,攻擊者還獲得了對使用 Atlassian Bitbucket 平台的控制系統的存取權。隨後嘗試連接到用於存取巴西尚未投入使用的資料中心的控制台伺服器,但所有連線嘗試均被拒絕。
顯然, 攻擊者的活動僅限於研究內容傳遞網路的架構 並尋找弱點。使用 wiki 搜尋與遠端存取、秘密、openconnect、cloudflare 和令牌相關的關鍵字。
攻擊者存取了與漏洞管理和金鑰輪換相關的 202 個 wiki 頁面(共 194,100 個)和 36 個問題報告(共 2,059,357 個)。也偵測到 120 個程式碼儲存庫(總共 11,904 個)的下載,大部分與 CDN 的備份、設定和管理、身分識別系統、遠端存取以及 Terraform 和 Kubernetes 平台的使用有關。一些儲存庫包含程式碼中留下的加密金鑰,儘管使用了可靠的加密方法,但這些金鑰在事件發生後立即被取代。
最後,如果你是 有興趣了解更多關於它的信息, 您可以查看詳細信息 在下面的鏈接中。