Cloudflare avslører hackere tilgang til kode, dokumenter i 2023 Okta Breach
Cloudflare har avslørt at de opplevde et sannsynlig nasjonalstatsangrep, der trusselaktøren brukte stjålne legitimasjon for å få uautorisert tilgang til Atlassian-serveren, for å få tilgang til noe dokumentasjon og en begrenset mengde kildekode.
Bruddet skjedde fra 14. til 24. november 2023, med oppdagelse 23. november. Cloudflare karakteriserte skuespilleren som «sofistikert», som opererer med en bevisst og metodisk tilnærming for å oppnå vedvarende og utbredt tilgang til selskapets globale nettverk.
Som et sikkerhetstiltak roterte Cloudflare over 5000 produksjonslegitimasjon, fysisk segmenterte test- og iscenesettelser, gjennomførte rettsmedisinske triager på 4893 systemer, og reimage og restartet hver maskin på tvers av sitt globale nettverk.
Under hendelsen tillot en fire-dagers rekognoseringsperiode trusselaktøren å få tilgang til Atlassian Confluence og Jira-portalene. Deretter ble en useriøs Atlassian-brukerkonto opprettet, som etablerte vedvarende tilgang til Atlassian-serveren og til slutt fikk tilgang til Bitbucket-kildekodestyringssystemet ved å bruke Sliver adversary-simuleringsrammeverket.
Kodelager som angripere har tilgang til
Omtrent 120 kodelagre ble åpnet, med anslagsvis 76 antatt å ha blitt eksfiltrert av angriperen. Disse lagrene gjaldt først og fremst sikkerhetskopieringsprosesser, global nettverkskonfigurasjon og -administrasjon, identitetspraksis hos Cloudflare, ekstern tilgang og selskapets bruk av Terraform og Kubernetes.
Cloudflare uttalte at noen få depoter inneholdt krypterte hemmeligheter, som raskt ble rotert til tross for deres sterke kryptering.
Trusselaktøren forsøkte uten hell å få tilgang til en konsollserver koblet til et datasenter i São Paulo, Brasil, som ennå ikke er i produksjon.
Angrepet utnyttet ett tilgangstoken og tre tjenestekontolegitimasjoner knyttet til Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks og Smartsheet. Disse legitimasjonene ble stjålet i oktober 2023 under hacket av Oktas støttesaksbehandlingssystem. Cloudflare erkjente en unnlatelse av å rotere disse legitimasjonene, og antok feilaktig at de var ubrukte.
Selskapet avsluttet alle ondsinnede forbindelser fra trusselaktøren 24. november 2023, og engasjerte cybersikkerhetsfirmaet CrowdStrike for en uavhengig vurdering av hendelsen.