Интернетийн траффикийн 20 орчим хувийг бүрдүүлдэг контент түгээлтийн сүлжээгээр хангадаг Cloudflare нь Atlassian Confluence платформ, Atlassian Jira дээр суурилсан дотоод вики сайтыг ажиллуулж байсан дэд бүтцийн серверүүдийн нэгийг нь хакердсан тухай тайланг нийтэлжээ. асуудлыг хянах систем болон Bitbucket кодын удирдлагын систем . Шинжилгээгээр халдагч нь Октагийн аравдугаар сард хакердсаны үр дүнд олж авсан жетонуудыг ашиглан серверт нэвтэрч чадсан нь хандалтын жетон алдагдахад хүргэсэн байна.
Намрын улиралд Окта хакердсан тухай мэдээллийг задруулсны дараа Cloudflare нь Окта үйлчилгээгээр дамжуулан ашигласан итгэмжлэл, түлхүүр, жетоныг шинэчлэх үйл явцыг эхлүүлсэн боловч үр дүнд нь нэг токен, гурван данс (хэдэн мянгаас) эвдэрсэн байна. Октагийн хакеруудыг солиогүй бөгөөд халдагч үүнийг далимдуулан үйлдлээ үргэлжлүүлэв. Эдгээр итгэмжлэлийг ашиглах боломжгүй гэж үзсэн боловч үнэн хэрэгтээ Atlassian платформ, Bitbucket кодын удирдлагын систем, Atlassian Jira орчинд захиргааны хандалттай SaaS програм болон Cloudflare Apps лавлахад үйлчилдэг AWS дахь орчинд хандахыг зөвшөөрсөн боловч тийм биш юм. CDN-ийн дэд бүтцэд хандах эрхтэй бөгөөд нууц мэдээллийг хадгалдаггүй.
Энэ явдал Cloudflare хэрэглэгчдийн өгөгдөл эсвэл системд нөлөөлөөгүй. Аудитын үр дүнд халдлага нь зөвхөн Atlassian бүтээгдэхүүн ажиллуулдаг системүүдээр хязгаарлагдсан бөгөөд бусад системд тархаагүй болохыг тогтоожээ. серверүүд, Cloudflare-ийн Zero Trust загвар болон дэд бүтцийн хэсгүүдийг тусгаарласны ачаар.
Cloudflare серверийн хакердалтыг 11-р сарын 23-нд илрүүлсэн бөгөөд вики болон асуудлыг хянах системд зөвшөөрөлгүй хандсан анхны ул мөрийг 11-р сарын 14-нд илрүүлсэн. 11-р сарын 22-нд халдагч Jira-д зориулсан ScriptRunner ашиглан үүсгэсэн байнгын хандалтын арын хаалга суулгасан. Тэр өдөр халдагч Atlassian Bitbucket платформ ашигладаг эх кодын удирдлагын системд хандах эрх олж авсан. Үүний дараа консол руу холбогдох оролдлого хийгдсэн. сервер, Бразилд хараахан ашиглалтад ороогүй байгаа дата төвд хандахад ашигласан боловч бүх холболтын оролдлого амжилтгүй болсон.
Халдагчийн үйл ажиллагаа нь контент хүргэх сүлжээний архитектурыг судлах, сул талыг хайх зэргээр хязгаарлагдаж байсан бололтой. Халдагчид алсын зайнаас хандах, нууцлал, нээлттэй холболт, cloudflared, жетонтой холбоотой түлхүүр үгсийг вики хайлтаар ашигласан. Халдагчид эмзэг байдлыг удирдах, түлхүүрийг эргүүлэхтэй холбоотой 202 вики хуудас (194100-аас) болон 36 асуудлын тайланг (2059357-аас) нээж бүртгэсэн байна. Мөн 120 кодын агуулах (11904) татаж авсан нь илэрсэн бөгөөд тэдгээрийн ихэнх нь нөөцлөлт, CDN тохиргоо ба удирдлага, таних систем, алсаас хандах, Terraform болон Kubernetes платформуудыг ашиглахтай холбоотой байна. Зарим репозиторууд нь кодонд үлдсэн шифрлэгдсэн түлхүүрүүдийг агуулж байсан бөгөөд найдвартай шифрлэлтийн аргуудыг ашигласан ч хэрэг явдлын дараа шууд сольсон.
Эх сурвалж: opennet.ru
