Cloudflare 揭露了駭客在 2023 年 Okta 漏洞中存取的程式碼和文件
Cloudflare 透露,它經歷了一次可能是民族國家的攻擊,威脅行為者利用被盜的憑證未經授權地進入其 Atlassian 伺服器,從而獲得對某些文件和有限數量的原始碼存取權。
該漏洞發生於2023 年11 月14 日至24 日,並於11 月23 日被發現。Cloudflare 將攻擊者描述為“老練”,採用深思熟慮和有條不紊的方法來實現對公司全球網絡的持續和廣泛的訪問。
作為預防措施,Cloudflare 輪換了 5,000 多個生產憑證、實體分段的測試和暫存系統,對 4,893 個系統進行取證分類,並重新映像並重新啟動其全球網路中的每台電腦。
事件期間,四天的偵察期允許威脅行為者訪問 Atlassian Confluence 和 Jira 門戶。隨後,創建了一個流氓 Atlassian 使用者帳戶,建立了對 Atlassian 伺服器的持久存取權限,並最終使用 Sliver 對手模擬框架獲得了對 Bitbucket 原始碼管理系統的存取權限。
攻擊者存取的程式碼儲存庫
大約 120 個程式碼儲存庫被訪問,其中估計有 76 個程式碼儲存庫被認為已被攻擊者竊取。這些儲存庫主要涉及備份流程、全域網路配置和管理、Cloudflare 的身份實踐、遠端存取以及公司對 Terraform 和 Kubernetes 的利用。
Cloudflare 表示,有些儲存庫包含加密的秘密,儘管加密程度很高,但這些秘密仍會迅速輪替。
威脅行為者試圖存取連結到巴西聖保羅資料中心(尚未投入生產)的控制台伺服器,但未成功。
此攻擊利用了與 Amazon Web Services (AWS)、Atlassian Bitbucket、Moveworks 和 Smartsheet 關聯的存取權杖和三個服務帳戶憑證。這些憑證於 2023 年 10 月在 Okta 支援案例管理系統遭到駭客攻擊期間被盜。 Cloudflare 承認無法輪換這些憑證,並錯誤地認為它們未被使用。
該公司於 2023 年 11 月 24 日終止了來自威脅行為者的所有惡意連接,並聘請網路安全公司 CrowdStrike 對此事件進行獨立評估。