Cloudflare, dostawca sieci dostarczania treści obsługującej około 20% ruchu internetowego, opublikował raport o włamaniu do jednego z serwerów w swojej infrastrukturze, na którym obsługiwał wewnętrzny serwis wiki oparty na platformie Atlassian Confluence, Atlassian Jira system śledzenia problemów i system zarządzania kodami Bitbucket. Analiza wykazała, że atakującemu udało się uzyskać dostęp do serwera za pomocą tokenów uzyskanych w wyniku październikowego włamania do firmy Okta, co doprowadziło do wycieku tokenów dostępowych.
Po ujawnieniu informacji o jesiennym włamaniu do Okta, Cloudflare zainicjowało proces aktualizacji danych uwierzytelniających, kluczy i tokenów używanych w usługach Okta, ale jak się okazało, w jego wyniku zainfekowany został jeden token i trzy konta (z kilku tysięcy) hacka Okta nie zostały zastąpione i kontynuowano działanie, z którego skorzystał atakujący. Te dane uwierzytelniające uznano za bezużyteczne, ale w rzeczywistości umożliwiały dostęp do platformy Atlassian, systemu zarządzania kodem Bitbucket, aplikacji SaaS mającej dostęp administracyjny do środowiska Atlassian Jira oraz środowiska w AWS, które obsługuje katalog Cloudflare Apps, ale nie mają dostęp do infrastruktury CDN i nie przechowują danych poufnych.
Incydent nie wpłynął na dane ani systemy użytkowników Cloudflare. Audyt wykazał, że atak ograniczył się do systemów z produktami Atlassian i nie rozprzestrzenił się na inne systemy. serwery, dzięki modelowi Zero Trust firmy Cloudflare i izolacji części infrastruktury.
Włamanie na serwer Cloudflare zostało odkryte 23 listopada, a pierwsze ślady nieautoryzowanego dostępu do wiki i systemu śledzenia zgłoszeń wykryto 14 listopada. 22 listopada atakujący zainstalował trwałą furtkę dostępową, stworzoną za pomocą ScriptRunner dla Jira. Tego samego dnia atakujący uzyskał dostęp do systemu zarządzania kodem źródłowym, który korzystał z platformy Atlassian Bitbucket. Następnie podjęto próbę połączenia z konsolą. serwer, , służył do uzyskania dostępu do niedziałającego jeszcze centrum danych w Brazylii, jednak wszystkie próby nawiązania połączenia zakończyły się niepowodzeniem.
Najwyraźniej aktywność atakującego ograniczała się do badania architektury sieci dostarczania treści i poszukiwania słabych punktów. Osoba atakująca użyła wyszukiwarki wiki, szukając słów kluczowych związanych ze zdalnym dostępem, sekretami, openconnect, cloudflared i tokenami. Osoba atakująca odnotowała otwarcie 202 stron wiki (z 194100 36) i 2059357 raportów o problemach (z 120 11904 XNUMX) związanych z zarządzaniem lukami w zabezpieczeniach i rotacją kluczy. Wykryto także pobranie XNUMX repozytoriów kodu (spośród XNUMX XNUMX), z których większość dotyczy tworzenia kopii zapasowych, konfiguracji i zarządzania CDN, systemów tożsamości, zdalnego dostępu i korzystania z platform Terraform i Kubernetes. Część repozytoriów zawierała pozostawione w kodzie zaszyfrowane klucze, które zostały wymienione natychmiast po zdarzeniu, pomimo zastosowania niezawodnych metod szyfrowania.
Źródło: opennet.ru
