ProHoster > وبلاگ > اخبار اینترنتی > Cloudflare اطلاعات مربوط به هک شدن یکی از سرورهای خود را فاش کرد

Cloudflare اطلاعات مربوط به هک شدن یکی از سرورهای خود را فاش کرد

Cloudflare که یک شبکه تحویل محتوا را ارائه می دهد که تقریباً 20 درصد از ترافیک اینترنت را تشکیل می دهد، گزارشی از هک شدن یکی از سرورهای زیرساخت خود منتشر کرده است که یک سایت ویکی داخلی مبتنی بر پلت فرم Atlassian Confluence به نام Atlassian Jira را اداره می کرد. سیستم پیگیری مسائل و سیستم مدیریت کد Bitbucket. . تجزیه و تحلیل نشان داد که مهاجم با استفاده از توکن های به دست آمده در نتیجه هک اکتبر Okta که منجر به نشت توکن های دسترسی شد، توانست به سرور دسترسی پیدا کند.

پس از افشای اطلاعات مربوط به هک Okta در پاییز، Cloudflare فرآیند به‌روزرسانی اعتبار، کلیدها و توکن‌های مورد استفاده از طریق خدمات Okta را آغاز کرد، اما همانطور که مشخص شد، در نتیجه یک توکن و سه حساب (از چندین هزار) به خطر افتادند. هک Okta جایگزین نشد و به عمل ادامه داد که مهاجم از آن سوء استفاده کرد. این اعتبارنامه ها غیرقابل استفاده در نظر گرفته شدند، اما در واقع اجازه دسترسی به پلتفرم Atlassian، سیستم مدیریت کد Bitbucket، یک برنامه SaaS که دسترسی مدیریتی به محیط Atlassian Jira دارد، و یک محیط در AWS که دایرکتوری Cloudflare Apps را ارائه می دهد، اما نمی دهد. به زیرساخت CDN دسترسی دارند و داده های محرمانه را ذخیره نمی کنند.

این حادثه بر داده‌ها یا سیستم‌های کاربر Cloudflare تأثیری نداشت. ممیزی مشخص کرد که این حمله به سیستم‌هایی که محصولات Atlassian را اجرا می‌کنند محدود می‌شود و به دلیل مدل Zero Trust Cloudflare و جداسازی بخش‌هایی از زیرساخت، به سرورهای دیگر سرایت نکرده است.

هک سرور Cloudflare در 23 نوامبر کشف شد و اولین آثار دسترسی غیرمجاز به ویکی و سیستم ردیابی مشکلات در 14 نوامبر ثبت شد. در 22 نوامبر، مهاجم یک درب پشتی برای دسترسی دائمی نصب کرد که با استفاده از ScriptRunner برای Jira ایجاد شده بود. در همان روز، مهاجم به سیستم کنترل منبع دسترسی پیدا کرد که از پلتفرم Atlassian Bitbucket استفاده می کرد. پس از این، یک اتصال به سرور کنسول مورد استفاده برای دسترسی به یک مرکز داده در برزیل ایجاد شد که هنوز راه اندازی نشده بود، اما همه تلاش ها برای اتصال ناموفق بود.

ظاهراً فعالیت مهاجم محدود به مطالعه معماری شبکه تحویل محتوا و جستجوی نقاط ضعف بوده است. مهاجم از جستجوی ویکی برای کلمات کلیدی مرتبط با دسترسی از راه دور، رازها، openconnect، cloudflared و توکن ها استفاده کرد. مهاجم باز شدن 202 صفحه ویکی (از 194100) و 36 گزارش مشکل (از 2059357) مربوط به مدیریت آسیب پذیری ها و چرخش کلید را ثبت کرده است. دانلود 120 مخزن کد (از 11904) نیز شناسایی شد که بیشتر آنها مربوط به پشتیبان گیری، پیکربندی و مدیریت CDN، سیستم های هویت، دسترسی از راه دور و استفاده از پلتفرم های Terraform و Kubernetes هستند. برخی از مخازن حاوی کلیدهای رمزگذاری شده باقی مانده در کد بودند که با وجود استفاده از روش های رمزگذاری مطمئن، بلافاصله پس از حادثه جایگزین شدند.

منبع: opennet.ru

اضافه کردن نظر