„Cloudflare“ atskleidžia įsilaužėlių prieigos kodą, dokumentus, susijusius su 2023 m. „Okta“ pažeidimu

„Cloudflare“ atskleidė, kad patyrė tikėtiną nacionalinės valstybės ataką, kai grėsmės veikėjas panaudojo pavogtus kredencialus, kad neteisėtai patektų į „Atlassian“ serverį, gautų prieigą prie kai kurių dokumentų ir riboto šaltinio kodo kiekio.

Pažeidimas įvyko 2023 m. lapkričio 14–24 d., o aptiktas lapkričio 23 d. „Cloudflare“ apibūdino aktorių kaip „rafinuotą“, veikiantį apgalvotai ir metodiškai, siekdama nuolatinės ir plačiai paplitusios prieigos prie pasaulinio bendrovės tinklo.

Atsargumo sumetimais „Cloudflare“ pakeitė daugiau nei 5 000 gamybos įgaliojimų, fiziškai suskirstė testavimo ir sustojimo sistemas, atliko teismo ekspertizę 4 893 sistemoms ir pervaizdavo bei iš naujo paleido kiekvieną įrenginį visame savo pasauliniame tinkle.

Per incidentą keturių dienų žvalgybos laikotarpis leido grėsmės veikėjui pasiekti Atlassian Confluence ir Jira portalus. Vėliau buvo sukurta nesąžininga „Atlassian“ vartotojo paskyra, užtikrinanti nuolatinę prieigą prie „Atlassian“ serverio ir galiausiai leidžianti patekti į „Bitbucket“ šaltinio kodo valdymo sistemą naudojant „Sliver“ priešininko modeliavimo sistemą.

Kodo saugyklos, kurias pasiekia užpuolikai

Buvo pasiekta maždaug 120 kodų saugyklų, iš kurių, kaip manoma, užpuolikas išfiltravo 76. Šios saugyklos pirmiausia buvo susijusios su atsarginių kopijų kūrimo procesais, pasaulinio tinklo konfigūracija ir valdymu, „Cloudflare“ tapatybės praktika, nuotoline prieiga ir įmonės „Terraform“ bei „Kubernetes“ naudojimu.

„Cloudflare“ teigė, kad keliose saugyklose buvo užšifruotų paslapčių, kurios buvo greitai pasuktos, nepaisant stipraus šifravimo.

Grėsmės veikėjas nesėkmingai bandė pasiekti konsolinį serverį, susietą su duomenų centru San Paule, Brazilijoje, kuris dar negaminamas.

Ataka išnaudojo vieną prieigos raktą ir tris paslaugų paskyros kredencialus, susijusius su „Amazon Web Services“ (AWS), „Atlassian Bitbucket“, „Moveworks“ ir „Smartsheet“. Šie kredencialai buvo pavogti 2023 m. spalį įsilaužus į „Okta“ palaikymo atvejų valdymo sistemą. „Cloudflare“ pripažino, kad nepavyko pasukti šių kredencialų, klaidingai manydama, kad jie nenaudojami.

2023 m. lapkričio 24 d. bendrovė nutraukė visus kenkėjiškus ryšius su grėsmių veikėju ir pasitelkė kibernetinio saugumo įmonę „CrowdStrike“, kad šis įvertintų nepriklausomą incidentą.