Детальный разбор ноябрьского нарушения безопасности Cloudflare.
Компания Cloudflare раскрыла детали инцидента, в ходе которого предположительно шпионы, действуя от имени государства, получили доступ к внутренней системе Atlassian, используя украденные данные в результате нарушения безопасности в Okta в октябре.
По информации Cloudflare, нарушение в системе Atlassian было обнаружено 23 ноября 2023 года, а уже на следующий день нарушители были вытеснены из системы. По словам представителей компании, атака была осуществлена с целью получения постоянного доступа к глобальной сети Cloudflare.
В ходе нарушения безопасности Okta в октябре, затронувшего более 130 клиентов компании, злоумышленники украли данные с целью дальнейшего взлома организаций. Cloudflare также пострадала от атаки. Cloudflare использует Okta в качестве поставщика удостоверений, интегрированного с Cloudflare Access, что позволяет гарантировать пользователям безопасный доступ к внутренним ресурсам.
По словам руководства Cloudflare, шпионы искали информацию об удаленном доступе, секретах и токенах, а также проявили интерес к 36 тикетам Jira из более чем 2 млн., касающимся управления уязвимостями, оборота секретов, обхода многофакторной аутентификации, доступа к сети и даже реакции бизнеса на инцидент с Okta.
По словам Cloudflare, хакеры получили один сервисный токен и три набора учетных данных сервисных аккаунтов через компрометацию Okta в 2023 году. Изначально Okta утверждала, что украденная информация была относительно безобидной и могла использоваться для фишинга или социальной инженерии. Однако оказалось, что среди украденных данных были токены сессии, позволяющие получить доступ к сетям компаний вроде Cloudflare.
Злоумышленники использовали украденные данные для доступа к системам Cloudflare, включая внутренний вики на базе Confluence и базу данных ошибок Jira, в период с 14 по 17 ноября 2023 года. Дальнейшие доступы были обнаружены 20 и 21 ноября, после чего киберпреступники установили постоянное присутствие на сервере Atlassian через ScriptRunner для Jira.
Интерес шпионов к секретам и токенам подтверждается также просмотром 120 репозиториев кода в Bitbucket из почти 12 000. Репозитории в основном были связаны с принципами работы резервного копирования, конфигурацией и управлением глобальной сети, идентификацией, удаленным доступом, а также Terraform и Kubernetes. По словам компании CDN, некоторые из них содержали зашифрованные секреты, и они были немедленно заменены, хотя и были надежно зашифрованы.
Атака была отражена 24 ноября 2023 года, после чего компания начала оценку ущерба и расследование инцидента. При усилении мер безопасности была задействована фирма Crowdstrike для независимой оценки.
Cloudflare серьезно относится к инциденту, несмотря на ограниченное операционное влияние, и прилагает усилия к управлению учетными данными, усилению безопасности ПО и улучшению системы оповещения. Работа по проекту «Код Красный», направленному на устранение последствий нарушения, завершилась 5 января 2024 года, но усилия по повышению безопасности в компании продолжаются.
Гравитация научных фактов сильнее, чем вы думаете