Cloudflare avslöjar kod för åtkomst av hackare, dokument under 2023 Okta Breach
Cloudflare har avslöjat att det upplevde en trolig nationalstatsattack, där hotaktören använde stulna autentiseringsuppgifter för att få obehörig tillgång till sin Atlassian-server, för att få tillgång till viss dokumentation och en begränsad mängd källkod.
Intrånget inträffade från den 14 till den 24 november 2023, med upptäckt den 23 november. Cloudflare karakteriserade skådespelaren som "sofistikerad", som arbetade med ett medvetet och metodiskt tillvägagångssätt för att uppnå varaktig och utbredd åtkomst till företagets globala nätverk.
Som en försiktighetsåtgärd roterade Cloudflare över 5 000 produktionsuppgifter, fysiskt segmenterade test- och iscensättningssystem, genomförde kriminaltekniska triager på 4 893 system, och ombildade och startade om varje maskin i sitt globala nätverk.
Under incidenten tillät en fyra dagars spaningsperiod hotaktören att komma åt Atlassian Confluence och Jira-portalerna. Därefter skapades ett oseriöst Atlassian-användarkonto, som etablerade beständig åtkomst till Atlassian-servern och slutligen fick tillgång till Bitbuckets källkodshanteringssystem med hjälp av Sliver adversary-simuleringsramverket.
Kodarkiv som angripare får åtkomst till
Ungefär 120 kodlager nåddes, varav uppskattningsvis 76 tros ha exfiltrerats av angriparen. Dessa förråd avsåg i första hand säkerhetskopieringsprocesser, global nätverkskonfiguration och hantering, identitetspraxis hos Cloudflare, fjärråtkomst och företagets användning av Terraform och Kubernetes.
Cloudflare uppgav att några förråd innehöll krypterade hemligheter, som omedelbart roterades trots deras starka kryptering.
Hotaktören försökte utan framgång komma åt en konsolserver kopplad till ett datacenter i São Paulo, Brasilien, som ännu inte är i produktion.
Attacken utnyttjade en åtkomsttoken och tre tjänstekontouppgifter associerade med Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks och Smartsheet. Dessa referenser stals i oktober 2023 under hacket av Oktas supportärendehanteringssystem. Cloudflare erkände ett misslyckande med att rotera dessa referenser, och antog felaktigt att de var oanvända.
Företaget avslutade alla skadliga kopplingar från hotaktören den 24 november 2023 och anlitade cybersäkerhetsföretaget CrowdStrike för en oberoende bedömning av incidenten.