Το Cloudflare αποκαλύπτει κώδικα και έγγραφα στον οποίο έχουν πρόσβαση χάκερ το 2023 Παραβίαση Okta

Η Cloudflare αποκάλυψε ότι βίωσε μια πιθανή επίθεση έθνους-κράτους, όπου ο παράγοντας απειλής χρησιμοποίησε κλεμμένα διαπιστευτήρια για να αποκτήσει μη εξουσιοδοτημένη είσοδο στον Atlassian διακομιστή του, αποκτώντας πρόσβαση σε κάποια τεκμηρίωση και περιορισμένο αριθμό πηγαίο κώδικα.

Η παραβίαση σημειώθηκε από τις 14 έως τις 24 Νοεμβρίου 2023, με ανίχνευση στις 23 Νοεμβρίου. Η Cloudflare χαρακτήρισε τον ηθοποιό ως «εξελιγμένο», λειτουργώντας με μια σκόπιμη και μεθοδική προσέγγιση για την επίτευξη επίμονης και ευρείας πρόσβασης στο παγκόσμιο δίκτυο της εταιρείας.

Ως προληπτικό μέτρο, το Cloudflare περιστράφηκε πάνω από 5.000 διαπιστευτήρια παραγωγής, τμηματοποιήθηκαν φυσικά συστήματα δοκιμών και σταδιοποίησης, διεξήγαγε ιατροδικαστικές διαλογές σε 4.893 συστήματα και επανεξέτασε και επανεκκίνησε κάθε μηχανή στο παγκόσμιο δίκτυό της.

Κατά τη διάρκεια του περιστατικού, μια περίοδος αναγνώρισης τεσσάρων ημερών επέτρεψε στον ηθοποιό να αποκτήσει πρόσβαση στις πύλες Atlassian Confluence και Jira. Στη συνέχεια, δημιουργήθηκε ένας αδίστακτος λογαριασμός χρήστη Atlassian, ο οποίος καθιέρωσε μόνιμη πρόσβαση στον διακομιστή Atlassian και τελικά αποκτούσε είσοδο στο σύστημα διαχείρισης πηγαίου κώδικα Bitbucket χρησιμοποιώντας το πλαίσιο προσομοίωσης αντιπάλου Sliver.

Αποθετήρια κώδικα στα οποία έχουν πρόσβαση οι εισβολείς

Πραγματοποιήθηκε πρόσβαση σε περίπου 120 αποθετήρια κωδικών, με περίπου 76 να πιστεύεται ότι είχαν διεισδύσει από τον εισβολέα. Αυτά τα αποθετήρια αφορούσαν πρωτίστως τις διαδικασίες δημιουργίας αντιγράφων ασφαλείας, τη διαμόρφωση και διαχείριση του παγκόσμιου δικτύου, τις πρακτικές ταυτότητας στο Cloudflare, την απομακρυσμένη πρόσβαση και τη χρήση των Terraform και Kubernetes από την εταιρεία.

Το Cloudflare δήλωσε ότι μερικά αποθετήρια περιείχαν κρυπτογραφημένα μυστικά, τα οποία εναλλάσσονταν αμέσως παρά την ισχυρή κρυπτογράφηση τους.

Ο ηθοποιός της απειλής προσπάθησε ανεπιτυχώς να αποκτήσει πρόσβαση σε έναν διακομιστή κονσόλας που είναι συνδεδεμένος με ένα κέντρο δεδομένων στο Σάο Πάολο της Βραζιλίας, ο οποίος δεν βρίσκεται ακόμη σε παραγωγή.

Η επίθεση εκμεταλλεύτηκε ένα διακριτικό πρόσβασης και τρία διαπιστευτήρια λογαριασμού υπηρεσίας που σχετίζονται με τις Υπηρεσίες Ιστού της Amazon (AWS), το Atlassian Bitbucket, το Moveworks και το Smartsheet. Αυτά τα διαπιστευτήρια κλάπηκαν τον Οκτώβριο του 2023 κατά τη διάρκεια της εισβολής του συστήματος διαχείρισης υποθέσεων υποστήριξης της Okta. Το Cloudflare αναγνώρισε την αποτυχία εναλλαγής αυτών των διαπιστευτηρίων, υποθέτοντας λανθασμένα ότι δεν χρησιμοποιήθηκαν.

Η εταιρεία τερμάτισε όλες τις κακόβουλες συνδέσεις από τον παράγοντα απειλών στις 24 Νοεμβρίου 2023 και δεσμεύτηκε από την εταιρεία κυβερνοασφάλειας CrowdStrike για μια ανεξάρτητη αξιολόγηση του περιστατικού.