Το Cloudflare αποκάλυψε σήμερα ό
τι
ο εσωτερικός
του
διακομιστής Atlassian παραβιάστηκε από έναν εισβολέα «εθνικού κράτους» που είχε πρόσβαση στο Wiki Confluence, στη βάση δεδομένων σφαλμάτων Jira και στο σύστημα διαχείρισης πηγαίου κώδικα Atlassian Bitbucket.
Ο ηθοποιός της
απε
ιλής απέκτησε αρχικά πρόσβαση στον αυτο-φιλοξενούμενο διακομιστή Atlassian του Cloudflare στις 14 Νοεμβρίου και στη συνέχεια είχε πρόσβαση στα συστήματα Confluence και Jira της εταιρείας μετά από ένα στάδιο αναγνώρισης.
«Στη συνέχεια επέστρεψαν στις 22 Νοεμβρίου και απέκτησαν μόνιμη πρόσβαση στον Atlassian διακομιστή μας χρησιμοποιώντας το ScriptRunner για Jira, απέκτησαν πρόσβαση στο σύστημα διαχείρισης πηγαίου κώδικα (το οποίο χρησιμοποιεί Atlassian Bitbucket) και προσπάθησαν, ανεπιτυχώς, να αποκτήσουν πρόσβαση σε έναν διακομιστή κονσόλας που είχε πρόσβαση στο κέντρο δεδομένων που η Cloudflare δεν είχε ακόμη βάλει σε
παραγωγή
στο Σάο Πάολο της Βραζιλίας,” Cloudflare
είπε
.
Για να αποκτήσουν πρόσβαση στα συστήματά της, οι εισβολείς χρησιμοποίησαν ένα διακριτικό πρόσβασης και τρία διαπιστευτήρια λογαριασμού υπηρεσίας που είχαν κλαπεί κατά τη διάρκεια ενός προηγούμενου συμβιβασμού που συνδέθηκε με την παραβίαση της Okta από τον Οκτώβριο του 2023, την οποία το Cloudflare απέτυχε να περιστρέψει (από χιλιάδες διέρρευσαν κατά τον συμβιβασμό του Okta).
Η Cloudflare εντόπισε την κακόβουλη δραστηριότητα στις 23 Νοεμβρίου, διέκοψε την πρόσβαση του χάκερ το πρωί της 24ης Νοεμβρίου και οι ειδικοί της εγκληματολογίας στον κυβερνοχώρο άρχισαν να ερευνούν το περιστατικό τρεις ημέρες αργότερα, στις 26 Νοεμβρίου.
Κατά την αντιμετώπιση του συμβάντος, το προσωπικό της Cloudflare εναλλαγή όλων των διαπιστευτηρίων παραγωγής (πάνω από 5.000 μοναδικά), τμηματοποιήθηκαν φυσικά συστήματα δοκιμών και σταδιοποίησης, πραγματοποίησαν εγκληματολογική δοκιμή σε 4.893 συστήματα, επανεικόνασαν και επανεκκίνησαν όλα τα συστήματα στο παγκόσμιο δίκτυο της εταιρείας, συμπεριλαμβανομένων όλων των διακομιστών Atlassian (Jira, Confluence και Bitbucket) και μηχανήματα στα οποία έχει πρόσβαση ο εισβολέας.
Οι ηθοποιοί της απειλής προσπάθησαν επίσης να παραβιάσουν το κέντρο δεδομένων της Cloudflare στο Σάο Πάολο —το οποίο δεν χρησιμοποιείται ακόμη στην παραγωγή—αλλά αυτές οι προσπάθειες απέτυχαν. Όλος ο εξοπλισμός στο κέντρο δεδομένων της Cloudflare στη Βραζιλία επιστράφηκε αργότερα στους κατασκευαστές για να διασφαλιστεί ότι το κέντρο δεδομένων ήταν 100% ασφαλές.
Οι προσπάθειες αποκατάστασης ολοκληρώθηκαν πριν από σχεδόν ένα μήνα, στις 5 Ιανουαρίου, αλλά η εταιρεία λέει ότι το προσωπικό της εξακολουθεί να εργάζεται για τη σκλήρυνση του λογισμικού, καθώς και για τη διαχείριση διαπιστευτηρίων και ευπάθειας.
Η εταιρεία λέει ότι αυτή η παραβίαση δεν επηρέασε τα δεδομένα ή τα συστήματα πελατών του Cloudflare. Οι υπηρεσίες, τα παγκόσμια συστήματα δικτύου ή η διαμόρφωσή του δεν επηρεάστηκαν επίσης.
“Αν και κατανοούμε ότι ο λειτουργικός αντίκτυπος του συμβάντος είναι εξαιρετικά περιορισμένος, λάβαμε αυτό το περιστατικό πολύ σοβαρά, επειδή ένας παράγοντας απειλής είχε χρησιμοποιήσει κλεμμένα διαπιστευτήρια για να αποκτήσει πρόσβαση στον Atlassian διακομιστή μας και είχε πρόσβαση σε κάποια τεκμηρίωση και σε περιορισμένο αριθμό πηγαίου κώδικα.” είπε ο Cloudflare.
“Με βάση τη συνεργασία μας με συναδέλφους στον κλάδο και την κυβέρνηση, πιστεύουμε ότι αυτή η επίθεση εκτελέστηκε από έναν εισβολέα εθνικού κράτους με στόχο να αποκτήσει επίμονη και ευρεία πρόσβαση στο παγκόσμιο δίκτυο της Cloudflare.”
Στις 18 Οκτωβρίου 2023, η παρουσία Okta του Cloudflare παραβιάστηκε χρησιμοποιώντας ένα διακριτικό ελέγχου
ταυτότητα
ς που κλάπηκε από το σύστημα υποστήριξης της Okta.
Μετά το συμβάν, η εταιρεία είπε ότι η γρήγορη απόκριση της Ομάδας Αντιμετώπισης Συμβάντων Ασφαλείας περιείχε και ελαχιστοποίησε τον αντίκτυπο στα συστήματα και τα δεδομένα Cloudflare και ότι δεν επηρεάστηκαν πληροφορίες ή συστήματα πελατών Cloudflare.
VIA:
bleepingcomputer.com
