Cloudflare divulgue le code et les documents consultés par les pirates informatiques lors de la violation d'Okta en 2023

computer malware

Cloudflare a révélé avoir été victime d'une attaque probable d'un État-nation, dans laquelle l'acteur malveillant a utilisé des informations d'identification volées pour accéder sans autorisation à son serveur Atlassian, obtenant ainsi l'accès à une certaine documentation et à une quantité limitée de code source.

La violation s'est produite du 14 au 24 novembre 2023 et a été détectée le 23 novembre. Cloudflare a qualifié l'acteur de « sophistiqué », opérant avec une approche délibérée et méthodique pour obtenir un accès persistant et généralisé au réseau mondial de l'entreprise.

Par mesure de précaution, Cloudflare a effectué une rotation de plus de 5 000 informations d'identification de production, segmenté physiquement les systèmes de test et de préparation, effectué des tris médico-légaux sur 4 893 systèmes, et réimaginé et redémarré chaque machine de son réseau mondial.

Lors de l'incident, une période de reconnaissance de quatre jours a permis à l'acteur menaçant d'accéder aux portails Atlassian Confluence et Jira. Par la suite, un compte utilisateur Atlassian malveillant a été créé, établissant un accès persistant au serveur Atlassian et permettant finalement d'accéder au système de gestion de code source Bitbucket à l'aide du cadre de simulation d'adversaire Sliver.

Référentiels de code accessibles par les attaquants

Environ 120 référentiels de codes ont été consultés, dont 76 auraient été exfiltrés par l'attaquant. Ces référentiels concernaient principalement les processus de sauvegarde, la configuration et la gestion du réseau mondial, les pratiques d'identité chez Cloudflare, l'accès à distance et l'utilisation par l'entreprise de Terraform et Kubernetes.

Cloudflare a déclaré que quelques référentiels contenaient des secrets cryptés, qui étaient rapidement alternés malgré leur cryptage fort.

L'auteur de la menace a tenté en vain d'accéder à un serveur de console lié à un centre de données à São Paulo, au Brésil, qui n'est pas encore en production.

L'attaque a exploité un jeton d'accès et trois informations d'identification de compte de service associées à Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks et Smartsheet. Ces identifiants ont été volés en octobre 2023 lors du piratage du système de gestion des dossiers d'assistance d'Okta. Cloudflare a reconnu l'échec de la rotation de ces informations d'identification, supposant à tort qu'elles n'étaient pas utilisées.

La société a mis fin à toutes les connexions malveillantes de l'acteur menaçant le 24 novembre 2023 et a engagé la société de cybersécurité CrowdStrike pour une évaluation indépendante de l'incident.

Par Zaib
February 5, 2024
Computer Security
Français
February 5, 2024
Computer Security

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.