Cloudflare、2023年のOkta侵害でハッカーがアクセスしたコードと文書を公開
Cloudflareは、おそらく国家規模の攻撃を経験したことを明らかにしました。この攻撃では、脅威アクターが盗んだ認証情報を利用してアトラシアンサーバーに不正に侵入し、一部のドキュメントと限られた量のソースコードへのアクセスを取得しました。
この侵害は2023年11月14日から24日にかけて発生し、11月23日に検出されました。Cloudflareは、この攻撃者を「洗練された」人物として特徴付け、意図的かつ系統的なアプローチで活動し、同社のグローバルネットワークへの永続的かつ広範なアクセスを実現しました。
予防措置として、Cloudflareは5,000を超える本番認証情報をローテーションし、テストおよびステージングシステムを物理的にセグメント化し、4,893のシステムでフォレンジックトリアージを実施し、グローバルネットワーク上のすべてのマシンを再イメージ化して再起動しました。
このインシデント中、4 日間の偵察期間により、攻撃者は Atlassian Confluence および Jira ポータルにアクセスすることができました。その後、不正な Atlassian ユーザー アカウントが作成され、Atlassian サーバーへの永続的なアクセスが確立され、最終的に Sliver 敵対的シミュレーション フレームワークを使用して Bitbucket ソース コード管理システムへのアクセスが確立されました。
攻撃者がアクセスするコード リポジトリ
約 120 のコード リポジトリがアクセスされ、そのうち推定 76 が攻撃者によって流出されたと考えられています。これらのリポジトリは主に、バックアップ プロセス、グローバル ネットワークの構成と管理、Cloudflare での ID 実践、リモート アクセス、および会社の Terraform と Kubernetes の利用に関係していました。
Cloudflareは、いくつかのリポジトリには暗号化されたシークレットが含まれており、それらは強力な暗号化にもかかわらずすぐにローテーションされたと述べました。
攻撃者は、まだ運用されていないブラジルのサンパウロにあるデータセンターにリンクされたコンソール サーバーにアクセスしようとしましたが、失敗しました。
この攻撃では、アマゾン ウェブ サービス (AWS)、Atlassian Bitbucket、Moveworks、Smartsheet に関連付けられた 1 つのアクセス トークンと 3 つのサービス アカウント認証情報が悪用されました。これらの認証情報は、2023 年 10 月に Okta のサポート ケース管理システムがハッキングされた際に盗まれました。 Cloudflareは、これらの認証情報が未使用であると誤ってローテーションできなかったことを認めました。
同社は、2023 年 11 月 24 日に脅威アクターからのすべての悪意のある接続を終了し、サイバーセキュリティ会社 CrowdStrike にインシデントの独立した評価を依頼しました。