نشرت شركة Cloudflare، التي توفر شبكة توصيل محتوى تمثل ما يقرب من 20% من حركة الإنترنت، تقريرًا عن اختراق أحد الخوادم في بنيتها التحتية، والتي كانت تدير موقع ويكي داخلي يعتمد على منصة Atlassian Confluence، Atlassian Jira نظام تتبع المشكلات ونظام إدارة كود Bitbucket. وأظهر التحليل أن المهاجم تمكن من الوصول إلى الخادم باستخدام الرموز المميزة التي تم الحصول عليها نتيجة اختراق Okta في أكتوبر، مما أدى إلى تسرب رموز الوصول.
بعد الكشف عن معلومات حول اختراق Okta في الخريف، بدأت Cloudflare عملية تحديث بيانات الاعتماد والمفاتيح والرموز المميزة المستخدمة من خلال خدمات Okta، ولكن كما اتضح فيما بعد، تم اختراق رمز مميز واحد وثلاثة حسابات (من بين عدة آلاف) نتيجة لذلك لم يتم استبدال اختراق Okta واستمر الفعل الذي استغله المهاجم. تم اعتبار بيانات الاعتماد هذه غير قابلة للاستخدام، ولكنها في الواقع سمحت بالوصول إلى منصة Atlassian، ونظام إدارة كود Bitbucket، وتطبيق SaaS الذي يتمتع بوصول إداري إلى بيئة Atlassian Jira، وبيئة في AWS تخدم دليل Cloudflare Apps، ولكنها لا تفعل ذلك. لديهم حق الوصول إلى البنية التحتية لـ CDN ولا يقومون بتخزين البيانات السرية.
لم يؤثر الحادث على بيانات أو أنظمة مستخدم Cloudflare. توصلت عملية التدقيق إلى أن الهجوم كان يقتصر على الأنظمة التي تشغل منتجات Atlassian ولم ينتشر إلى خوادم أخرى، وذلك بسبب نموذج Cloudflare's Zero Trust وعزل أجزاء من البنية التحتية.
تم اكتشاف اختراق خادم Cloudflare في 23 نوفمبر، وتم تسجيل الآثار الأولى للوصول غير المصرح به إلى موقع wiki ونظام تتبع المشكلات في 14 نوفمبر. في 22 نوفمبر، قام المهاجم بتثبيت باب خلفي للوصول الدائم، تم إنشاؤه باستخدام ScriptRunner لـ Jira. وفي اليوم نفسه، تمكن المهاجم من الوصول إلى نظام التحكم بالمصدر، والذي يستخدم منصة Atlassian Bitbucket. بعد ذلك، تم إجراء اتصال بخادم وحدة التحكم المستخدم للوصول إلى مركز بيانات في البرازيل لم يتم تشغيله بعد، لكن جميع محاولات الاتصال باءت بالفشل.
ويبدو أن نشاط المهاجم اقتصر على دراسة بنية شبكة توصيل المحتوى والبحث عن نقاط الضعف. استخدم المهاجم بحث wiki عن الكلمات الرئيسية المتعلقة بالوصول عن بعد، والأسرار، وopenconnect، وcloudflared، والرموز المميزة. سجل المهاجم فتح 202 صفحة ويكي (من أصل 194100) و36 تقرير مشكلة (من أصل 2059357) تتعلق بإدارة الثغرات الأمنية وتدوير المفاتيح. كما تم الكشف عن تنزيل 120 مستودعًا للأكواد (من أصل 11904)، يرتبط معظمها بالنسخ الاحتياطي وتكوين وإدارة CDN وأنظمة الهوية والوصول عن بعد واستخدام منصتي Terraform وKubernetes. واحتوت بعض المستودعات على مفاتيح مشفرة متبقية في الكود، والتي تم استبدالها مباشرة بعد الحادث، على الرغم من استخدام طرق تشفير موثوقة.
المصدر: opennet.ru