Cloudflare, koji pruža mrežu za isporuku sadržaja koja čini oko 20% internetskog prometa, objavio je izvještaj o hakovanju jednog od servera u svojoj infrastrukturi, koji je upravljao internom wiki lokacijom zasnovanom na Atlassian Confluence platformi, Atlassian Jira sistem za praćenje problema i Bitbucket sistem za upravljanje kodom. Analiza je pokazala da je napadač uspeo da pristupi serveru koristeći tokene dobijene kao rezultat oktobarskog hakovanja Okte, što je dovelo do curenja tokena za pristup.
Nakon objelodanjivanja informacija o Okta haku na jesen, Cloudflare je pokrenuo proces ažuriranja akreditiva, ključeva i tokena koji se koriste preko Okta servisa, ali kako se ispostavilo, jedan token i tri računa (od nekoliko hiljada) su kompromitovani kao rezultat Okta hakova nisu zamijenjeni i nastavljeni čin, što je napadač iskoristio. Ovi vjerodajnici su smatrani neupotrebljivima, ali su u stvari dozvoljavali pristup Atlassian platformi, Bitbucket sistemu za upravljanje kodom, SaaS aplikaciji koja ima administrativni pristup Atlassian Jira okruženju i okruženju u AWS-u koje opslužuje Cloudflare Apps direktorij, ali ne imaju pristup CDN infrastrukturi i ne pohranjuju povjerljive podatke.
Incident nije uticao na podatke ili sisteme korisnika Cloudflare-a. Revizijom je utvrđeno da je napad bio ograničen na sisteme koji koriste Atlassian proizvode i da se nije proširio na druge sisteme. serveri, zahvaljujući Cloudflareovom Zero Trust modelu i izolaciji dijelova infrastrukture.
Hakiranje Cloudflare servera otkriveno je 23. novembra, a prvi tragovi neovlaštenog pristupa wiki stranici i sistemu za praćenje problema uočeni su 14. novembra. Dana 22. novembra, napadač je instalirao trajni backdoor za pristup, kreiran pomoću ScriptRunner-a za Jira. Istog dana, napadač je dobio pristup sistemu za upravljanje izvornim kodom, koji je koristio Atlassian Bitbucket platformu. Nakon toga, pokušano je povezivanje s konzolom. server, korišten za pristup podatkovnom centru u Brazilu koji još nije bio u funkciji, ali svi pokušaji povezivanja bili su neuspješni.
Očigledno je aktivnost napadača bila ograničena na proučavanje arhitekture mreže za isporuku sadržaja i traženje slabosti. Napadač je koristio wiki pretragu za ključne riječi koje se odnose na daljinski pristup, tajne, openconnect, cloudflared i tokene. Napadač je zabilježio otvaranje 202 wiki stranice (od 194100) i 36 izvještaja o problemima (od 2059357) u vezi sa upravljanjem ranjivostima i rotacijom ključeva. Detektovano je i preuzimanje 120 repozitorija kodova (od 11904), od kojih se većina odnosi na backup, konfiguraciju i upravljanje CDN-om, sisteme identiteta, daljinski pristup i korištenje Terraform i Kubernetes platformi. Neka od spremišta sadržavala su šifrirane ključeve ostavljene u kodu, koji su zamijenjeni odmah nakon incidenta, uprkos korištenju pouzdanih metoda šifriranja.
izvor: opennet.ru
