Cloudflare聘請資安公司CrowdStrike,針對自託管Atlassian伺服器在2023年11月23日遭到攻擊者入侵事件進行調查,完整調查報告已經出爐。報告指出這次的攻擊行動是由經驗豐富,而且國家所資助的攻擊者所為,但因為在Cloudflare零信任架構的保護下,官方表示,客戶資料與系統都沒有因為該攻擊事件受影響。
Cloudflare被攻擊事件,要追溯至Okta在2023年10月被入侵,攻擊者從Okta系統獲得一組Cloudflare憑證存取權限。這些洩漏的憑證本應該全部輪換,但是Cloudflare漏了1個服務令牌和3個服務帳戶的憑證。
其包含一個Moveworks服務令牌,具有遠端存取Cloudflare Atlassian系統的權限,一個基於SaaS的Smartsheet應用程式所使用的服務帳戶憑證,能夠用於存取Atlassian Jira執行個體,第二個帳戶是Bitbucket服務帳戶,用於存取程式碼管理系統,最後一個則是AWS服務帳戶,但為無法存取全球網路、客戶和敏感資料的環境。
這些服務令牌和憑證就是攻擊者進入Cloudflare系統,並且試圖建立持久部署的關鍵,Cloudflare強調,這並非Atlassian、AWS、Moveworks或Smartsheet的錯誤,而是Cloudflare沒有輪換憑證的問題。
攻擊者先是在11月14日到17日進行偵查,存取Cloudflare內部的wiki以及錯誤資料庫,11月20日與11月21日測試存取以確認仍可連線。真正的攻擊行動從11月22日開始,攻擊者使用ScriptRunner for Jira建立對Atlassian伺服器的持久存取,並且獲得程式碼管理系統Atlassian Bitbucket存取權限,並嘗試存取Cloudflare巴西資料中心控制臺伺服器,但是並未成功。
所有攻擊存取和連線都在11月24日終止,雖然攻擊者在這個攻擊行動中所造成的影響有限,但Cloudflare嚴肅看待該事件,畢竟攻擊者使用了偷來的憑證,存取Atlassian伺服器上的部分檔案和程式碼。在Cloudflare、業界與政府合作調查下,確認這次攻擊來自國家資助攻擊者,其目的是要獲得Cloudflare全球網路持久且廣泛的存取能力。
經過CrowdStrike的調查,並沒有發現更多的攻擊者活動,但Cloudflare仍全面輪換所有產品憑證,並且進行徹底的檢查。Cloudflare還將巴西資料中心設備,交由供應商鑑識團隊檢查,確認攻擊者沒有成功入侵的痕跡,不過即便如此,Cloudflare慎重起見仍更換了硬體。
熱門新聞
2024-12-27
2024-12-24
2024-11-29
2024-12-22
2024-12-20