Cloudflare afslører hackere adgang til kode, dokumenter i 2023 Okta Breach
Cloudflare har afsløret, at det oplevede et sandsynligt nationalstatsangreb, hvor trusselsaktøren brugte stjålne legitimationsoplysninger til at få uautoriseret adgang til sin Atlassian-server, for at få adgang til noget dokumentation og en begrænset mængde kildekode.
Bruddet fandt sted fra den 14. til den 24. november 2023, med opdagelse den 23. november. Cloudflare karakteriserede skuespilleren som "sofistikeret", der opererede med en bevidst og metodisk tilgang til at opnå vedvarende og udbredt adgang til virksomhedens globale netværk.
Som en sikkerhedsforanstaltning roterede Cloudflare over 5.000 produktionslegitimationsoplysninger, fysisk segmenterede test- og iscenesættelsessystemer, udførte retsmedicinske triager på 4.893 systemer og reimage og genstartede hver maskine på tværs af sit globale netværk.
Under hændelsen tillod en fire-dages rekognosceringsperiode trusselsaktøren at få adgang til Atlassian Confluence og Jira-portalerne. Efterfølgende blev der oprettet en useriøs Atlassian-brugerkonto, som etablerede vedvarende adgang til Atlassian-serveren og i sidste ende fik adgang til Bitbucket-kildekodestyringssystemet ved hjælp af Sliver adversary-simuleringsramme.
Kodelager, som angribere har adgang til
Cirka 120 kodelagre blev tilgået, hvoraf anslået 76 menes at være blevet eksfiltreret af angriberen. Disse lagre vedrørte primært backup-processer, global netværkskonfiguration og -administration, identitetspraksis hos Cloudflare, fjernadgang og virksomhedens brug af Terraform og Kubernetes.
Cloudflare udtalte, at nogle få lagre indeholdt krypterede hemmeligheder, som omgående blev roteret på trods af deres stærke kryptering.
Trusselsaktøren forsøgte uden held at få adgang til en konsolserver knyttet til et datacenter i São Paulo, Brasilien, som endnu ikke er i produktion.
Angrebet udnyttede et adgangstoken og tre servicekontolegitimationsoplysninger forbundet med Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks og Smartsheet. Disse legitimationsoplysninger blev stjålet i oktober 2023 under hacket af Oktas supportsagshåndteringssystem. Cloudflare erkendte en fejl i at rotere disse legitimationsoplysninger, idet de fejlagtigt antog, at de var ubrugte.
Virksomheden afsluttede alle ondsindede forbindelser fra trusselsaktøren den 24. november 2023 og engagerede cybersikkerhedsfirmaet CrowdStrike til en uafhængig vurdering af hændelsen.