Ang Cloudflare, usa ka content delivery network nga nagdumala sa gibana-bana nga 20% sa trapiko sa internet, nagpatik ug usa ka report nga nagdetalye sa usa ka hack sa usa sa mga server niini, nga nag-host sa usa ka internal wiki site nga gipadagan sa Atlassian Confluence platform, ang Atlassian Jira issue tracking system, ug ang Bitbucket code management system. Ang pag-analisar nagpadayag nga ang tig-atake nakakuha og access sa server gamit ang mga token nga nakuha atol sa paglapas sa Okta niadtong Oktubre, nga miresulta sa pagtulo sa mga access token.
Human sa pagbutyag sa Okta breach niadtong tingdagdag, gisugdan sa Cloudflare ang usa ka proseso aron i-update ang mga kredensyal, yawe, ug mga token nga gigamit pinaagi sa mga serbisyo sa Okta. Apan, nahimo nga usa ka token ug tulo ka mga account (gikan sa pipila ka libo) nga nakompromiso sa Okta breach ang wala gipulihan ug nagpabilin nga aktibo, nga gipahimuslan sa tig-atake. Kini nga mga kredensyal gituohan nga wala magamit, apan sa tinuud, gitugotan niini ang pag-access sa plataporma sa Atlassian, ang sistema sa pagdumala sa code sa Bitbucket, usa ka aplikasyon sa SaaS nga adunay administratibong pag-access sa palibot sa Atlassian Jira, ug usa ka palibot sa AWS nga nagserbisyo sa katalogo sa Cloudflare Apps apan kulang sa access sa imprastraktura sa CDN ug wala magtipig sa sensitibo nga datos.
Ang insidente wala makaapekto sa datos o sistema sa mga tiggamit sa Cloudflare. Usa ka audit ang nagtino nga ang pag-atake limitado lamang sa mga sistema nga nagpadagan sa mga produkto sa Atlassian ug wala mikaylap sa ubang mga sistema. mga server, salamat sa Zero Trust model sa Cloudflare ug sa pag-inusara sa mga bahin sa imprastraktura.
Nadiskobrehan ang Cloudflare server hack niadtong Nobyembre 23, ug ang unang mga timailhan sa wala gitugutan nga pag-access sa wiki ug issue tracking system nakit-an niadtong Nobyembre 14. Niadtong Nobyembre 22, ang tig-atake nag-instalar og persistent access backdoor, nga gihimo gamit ang ScriptRunner para sa Jira. Nianang adlawa usab, ang tig-atake nakakuha og access sa source code management system, nga migamit sa Atlassian Bitbucket platform. Human niini, gisulayan ang pagkonektar sa console. server, gigamit sa pag-access sa usa ka wala pa magamit nga data center sa Brazil, apan ang tanan nga mga pagsulay sa koneksyon wala molampos.
Dayag nga ang kalihokan sa tig-atake limitado lamang sa pagtuon sa arkitektura sa content delivery network ug pagpangita sa mga kahuyangan. Atol sa ilang kalihokan, ang tig-atake migamit og mga termino sa pagpangita sa Wiki nga may kalabotan sa remote access, secrets, openconnect, cloudflared, ug tokens. Nakaplagan nga ang tig-atake nakaabli og 202 ka mga panid sa Wiki (gikan sa 194100) ug 36 ka mga report sa isyu (gikan sa 2059357) nga may kalabotan sa pagdumala sa kahuyangan ug pag-rotate sa yawe. Nakita usab nila ang pag-download sa 120 ka mga repositoryo sa code (gikan sa 11904), kadaghanan niini may kalabotan sa mga backup, pag-configure ug pagdumala sa CDN, mga sistema sa identidad, remote access, ug ang paggamit sa mga plataporma sa Terraform ug Kubernetes. Ang uban sa mga repository adunay mga naka-encrypt nga yawe nga nahabilin sa code, nga gipulihan dayon pagkahuman sa insidente, bisan pa sa paggamit sa lig-on nga mga pamaagi sa pag-encrypt.
Source: opennet.ru
