A Cloudflare nyilvánosságra hozta a hackerek által hozzáfért kódot és dokumentumokat a 2023-as Okta megsértésével kapcsolatban

A Cloudflare nyilvánosságra hozta, hogy egy valószínű nemzetállami támadást élt át, ahol a fenyegetés szereplője ellopott hitelesítő adatokat használt fel, hogy illetéktelenül bejusson Atlassian szerverére, hozzáférést nyerve bizonyos dokumentumokhoz és korlátozott mennyiségű forráskódhoz.

A jogsértés 2023. november 14. és 24. között történt, november 23-án észlelték. A Cloudflare „kifinomultnak” minősítette a színészt, aki szándékos és módszeres megközelítést alkalmaz a vállalat globális hálózatához való folyamatos és széles körű hozzáférés elérése érdekében.

Elővigyázatosságból a Cloudflare több mint 5000 gyártási hitelesítő adatot váltott fel, fizikailag szegmentált teszt- és állomásozórendszereket, 4893 rendszeren végzett törvényszéki vizsgálatokat, valamint újraképezte és újraindította a globális hálózatában található összes gépet.

Az incidens során egy négynapos felderítési időszak lehetővé tette a fenyegetettség szereplőjének, hogy hozzáférjen az Atlassian Confluence és a Jira portálokhoz. Ezt követően létrehoztak egy csaló Atlassian felhasználói fiókot, amely állandó hozzáférést biztosít az Atlassian szerverhez, és végül belépést nyert a Bitbucket forráskód-kezelő rendszerbe a Sliver ellenfél szimulációs keretrendszerének segítségével.

A támadók által elért kódtárak

Körülbelül 120 kódtárhoz fértek hozzá, és becslések szerint 76-ot a támadó kiszivárgott. Ezek a tárolók elsősorban a biztonsági mentési folyamatokra, a globális hálózati konfigurációra és kezelésre, a Cloudflare személyazonossági gyakorlataira, a távoli hozzáférésre, valamint a Terraform és a Kubernetes vállalat általi használatára vonatkoztak.

A Cloudflare kijelentette, hogy néhány adattár titkosított titkokat tartalmazott, amelyeket az erős titkosítás ellenére azonnal elforgattak.

A fenyegetettség szereplője sikertelenül próbált hozzáférni egy konzolszerverhez, amely egy São Paulo-i (Brazília) adatközpontjához kapcsolódik, de még nem élesben.

A támadás az Amazon Web Services (AWS), az Atlassian Bitbucket, a Moveworks és a Smartsheet szolgáltatásokhoz kapcsolódó egy hozzáférési tokent és három szolgáltatásfiók hitelesítő adatait használta ki. Ezeket a hitelesítő adatokat 2023 októberében lopták el az Okta támogatási ügykezelő rendszerének feltörése során. A Cloudflare elismerte, hogy nem sikerült elforgatni ezeket a hitelesítő adatokat, tévesen feltételezve, hogy nem használták őket.

A vállalat 2023. november 24-én megszakította a fenyegetőzőtől származó összes rosszindulatú kapcsolatot, és felkérte a CrowdStrike kiberbiztonsági céget az incidens független értékelésére.