Cloudflare, et innholdsleveringsnettverk som håndterer omtrent 20 % av internettrafikken, har publisert en rapport som beskriver et sikkerhetsbrudd på en av serverne sine, som drev en intern wikiside drevet av Atlassian Confluence, et problemsporingssystem kalt Atlassian Jira og et kodehåndteringssystem kalt Bitbucket. Analysen viste at angriperen klarte å få tilgang til serveren ved hjelp av tokener hentet fra Okta-hacket i oktober, som resulterte i lekkasje av tilgangstokener.
Etter at Okta-bruddet ble avslørt i høst, startet Cloudflare en prosess for å oppdatere legitimasjon, nøkler og tokener som ble brukt gjennom Okta-tjenester, men det viste seg at én token og tre kontoer (av flere tusen) som ble kompromittert i Okta-bruddet ikke ble erstattet og forble aktive, noe som ble utnyttet av angriperen. Legitimasjonene det var snakk om ble ansett som ubrukte, men ga faktisk tilgang til Atlassian-plattformen, Bitbucket-kodehåndteringssystemet, en SaaS-applikasjon med administrativ tilgang til Atlassian Jira-miljøet og et miljø i AWS som betjener Cloudflare Apps-katalogen, men ikke har tilgang til CDN-infrastrukturen og ikke lagrer sensitive data.
Hendelsen påvirket ikke Cloudflare-brukernes data eller systemer. En revisjon fastslo at angrepet var begrenset til systemer som kjørte Atlassian-produkter og ikke spredte seg til andre systemer. servere, takket være Cloudflares Zero Trust-modell og isolering av deler av infrastrukturen.
Cloudflare-serverhacket ble oppdaget 23. november, og de første sporene av uautorisert tilgang til wikien og problemsporingssystemet ble oppdaget 14. november. 22. november installerte angriperen en bakdør for vedvarende tilgang, opprettet ved hjelp av ScriptRunner for Jira. Samme dag fikk angriperen tilgang til kildekodehåndteringssystemet, som brukte Atlassian Bitbucket-plattformen. Etter dette ble det forsøkt å koble til konsollen. server, brukt til å få tilgang til et datasenter i Brasil som ennå ikke var i drift, men alle tilkoblingsforsøk var mislykkede.
Angriperens aktivitet ser ut til å ha vært begrenset til å studere arkitekturen til innholdsleveringsnettverket og søke etter svakheter. Under aktiviteten brukte angriperen wiki-søk etter nøkkelord relatert til fjerntilgang, hemmeligheter, openconnect, cloudflared og tokens. Angriperen ble oppdaget å ha åpnet 202 wikisider (av 194100 36) og 2059357 problemrapporter (av 120 11904 XNUMX) relatert til sårbarhetshåndtering og nøkkelrotasjon. De oppdaget også nedlasting av XNUMX kodelagre (av XNUMX XNUMX), hvorav de fleste var relatert til sikkerhetskopiering, CDN-oppsett og -administrasjon, identitetssystemer, fjerntilgang og bruk av Terraform- og Kubernetes-plattformer. Noen av lagrene inneholdt krypterte nøkler som var igjen i koden, og som ble erstattet umiddelbart etter hendelsen, til tross for bruk av sterke krypteringsmetoder.
Kilde: opennet.ru
