Cloudflare, yang menyediakan jaringan pengiriman konten yang menyumbang sekitar 20% lalu lintas Internet, telah menerbitkan laporan peretasan salah satu server di infrastrukturnya, yang mengoperasikan situs wiki internal berdasarkan platform Atlassian Confluence, Atlassian Jira sistem pelacakan masalah dan sistem manajemen kode Bitbucket. Analisis menunjukkan bahwa penyerang dapat memperoleh akses ke server menggunakan token yang diperoleh dari peretasan Okta pada bulan Oktober, yang menyebabkan kebocoran token akses.
Setelah pengungkapan informasi tentang peretasan Okta pada musim gugur, Cloudflare memulai proses pembaruan kredensial, kunci, dan token yang digunakan melalui layanan Okta, tetapi ternyata, satu token dan tiga akun (dari beberapa ribu) disusupi sebagai hasilnya. peretasan Okta tidak diganti dan tindakan dilanjutkan, yang dimanfaatkan oleh penyerang. Kredensial ini dianggap tidak dapat digunakan, namun pada kenyataannya mengizinkan akses ke platform Atlassian, sistem manajemen kode Bitbucket, aplikasi SaaS yang memiliki akses administratif ke lingkungan Atlassian Jira, dan lingkungan di AWS yang melayani direktori Aplikasi Cloudflare, namun tidak memiliki akses ke infrastruktur CDN dan tidak menyimpan data rahasia.
Insiden tersebut tidak memengaruhi data atau sistem pengguna Cloudflare. Audit menentukan bahwa serangan tersebut terbatas pada sistem yang menjalankan produk Atlassian dan tidak menyebar ke sistem lain. server, berkat model Zero Trust Cloudflare dan isolasi bagian-bagian infrastruktur.
Peretasan server Cloudflare ditemukan pada tanggal 23 November, dan jejak pertama akses tidak sah ke wiki dan sistem pelacakan masalah terdeteksi pada tanggal 14 November. Pada tanggal 22 November, penyerang memasang pintu belakang akses permanen, yang dibuat menggunakan ScriptRunner untuk Jira. Pada hari yang sama, penyerang memperoleh akses ke sistem manajemen kode sumber, yang menggunakan platform Atlassian Bitbucket. Setelah itu, upaya koneksi ke konsol dilakukan. serverDigunakan untuk mengakses pusat data yang belum beroperasi di Brasil, tetapi semua upaya koneksi tidak berhasil.
Rupanya, aktivitas penyerang hanya sebatas mempelajari arsitektur jaringan pengiriman konten dan mencari kelemahan. Penyerang menggunakan pencarian wiki untuk kata kunci yang terkait dengan akses jarak jauh, rahasia, openconnect, cloudflared, dan token. Penyerang mencatat pembukaan 202 halaman wiki (dari 194100) dan 36 laporan masalah (dari 2059357) terkait pengelolaan kerentanan dan rotasi kunci. Pengunduhan 120 repositori kode (dari 11904) juga terdeteksi, sebagian besar terkait dengan pencadangan, konfigurasi dan manajemen CDN, sistem identitas, akses jarak jauh, dan penggunaan platform Terraform dan Kubernetes. Beberapa repositori berisi kunci terenkripsi yang tertinggal dalam kode, yang segera diganti setelah kejadian, meskipun metode enkripsi yang andal telah digunakan.
Sumber: opennet.ru
