Cloudflare 披露了黑客在 2023 年 Okta 漏洞中访问的代码和文件
Cloudflare 透露,它经历了一次可能是民族国家的攻击,威胁行为者利用被盗的凭据未经授权地进入其 Atlassian 服务器,从而获得对某些文档和有限数量源代码的访问权限。
该漏洞发生在 2023 年 11 月 14 日至 24 日,并于 11 月 23 日被发现。Cloudflare 将攻击者描述为“老练”,采用深思熟虑和有条不紊的方法来实现对公司全球网络的持续和广泛的访问。
作为预防措施,Cloudflare 轮换了 5,000 多个生产凭证、物理分段的测试和暂存系统,对 4,893 个系统进行取证分类,并重新映像并重新启动其全球网络中的每台计算机。
事件期间,四天的侦察期允许威胁行为者访问 Atlassian Confluence 和 Jira 门户。随后,创建了一个流氓 Atlassian 用户帐户,建立了对 Atlassian 服务器的持久访问权限,并最终使用 Sliver 对手模拟框架获得了对 Bitbucket 源代码管理系统的访问权限。
攻击者访问的代码存储库
大约 120 个代码存储库被访问,其中估计有 76 个代码存储库被认为已被攻击者窃取。这些存储库主要涉及备份流程、全局网络配置和管理、Cloudflare 的身份实践、远程访问以及公司对 Terraform 和 Kubernetes 的使用。
Cloudflare 表示,一些存储库包含加密的秘密,尽管加密程度很高,但这些秘密仍会迅速轮换。
威胁行为者试图访问链接到巴西圣保罗数据中心(尚未投入生产)的控制台服务器,但未成功。
该攻击利用了与 Amazon Web Services (AWS)、Atlassian Bitbucket、Moveworks 和 Smartsheet 关联的一个访问令牌和三个服务帐户凭据。这些凭据于 2023 年 10 月在 Okta 支持案例管理系统遭到黑客攻击期间被盗。 Cloudflare 承认无法轮换这些凭据,并错误地认为它们未被使用。
该公司于 2023 年 11 月 24 日终止了来自威胁行为者的所有恶意连接,并聘请网络安全公司 CrowdStrike 对该事件进行独立评估。