A Cloudflare, que fornece uma rede de entrega de conteúdo responsável por aproximadamente 20% do tráfego da Internet, publicou um relatório de hack de um dos servidores de sua infraestrutura, que operava um site wiki interno baseado na plataforma Atlassian Confluence, o Atlassian Jira. sistema de rastreamento de problemas e sistema de gerenciamento de código Bitbucket. A análise mostrou que o invasor conseguiu obter acesso ao servidor usando tokens obtidos como resultado do hack do Okta em outubro, que levou ao vazamento de tokens de acesso.
Após a divulgação de informações sobre o hack do Okta no outono, a Cloudflare iniciou o processo de atualização de credenciais, chaves e tokens usados por meio dos serviços do Okta, mas, como se viu, um token e três contas (de vários milhares) foram comprometidos como resultado do hack do Okta não foram substituídos e continuaram a agir, dos quais o invasor se aproveitou. Essas credenciais foram consideradas inutilizáveis, mas na verdade permitiam acesso à plataforma Atlassian, ao sistema de gerenciamento de código Bitbucket, a uma aplicação SaaS que possui acesso administrativo ao ambiente Atlassian Jira e a um ambiente na AWS que atende o diretório Cloudflare Apps, mas não tem acesso à infraestrutura CDN e não armazena dados confidenciais.
O incidente não afetou os dados ou sistemas dos usuários da Cloudflare. Uma auditoria determinou que o ataque ficou restrito a sistemas que executam produtos Atlassian e não se propagou para outros sistemas. servidores, graças ao modelo Zero Trust da Cloudflare e ao isolamento de partes da infraestrutura.
A invasão do servidor Cloudflare foi descoberta em 23 de novembro, e os primeiros indícios de acesso não autorizado ao wiki e ao sistema de rastreamento de problemas foram detectados em 14 de novembro. Em 22 de novembro, o invasor instalou um backdoor de acesso persistente, criado usando o ScriptRunner para Jira. No mesmo dia, o invasor obteve acesso ao sistema de gerenciamento de código-fonte, que utilizava a plataforma Atlassian Bitbucket. Após isso, foi feita uma tentativa de conexão com o console. servidor, usado para acessar um centro de dados ainda não operacional no Brasil, mas todas as tentativas de conexão foram malsucedidas.
Aparentemente, a atividade do invasor limitou-se ao estudo da arquitetura da rede de distribuição de conteúdo e à busca de pontos fracos. O invasor usou uma pesquisa no wiki por palavras-chave relacionadas a acesso remoto, segredos, openconnect, cloudflared e tokens. O invasor registrou a abertura de 202 páginas wiki (de 194100) e 36 relatórios de problemas (de 2059357) relacionados ao gerenciamento de vulnerabilidades e rotação de chaves. Também foi detectado o download de 120 repositórios de códigos (de 11904), a maioria deles relacionados a backup, configuração e gerenciamento de CDN, sistemas de identidade, acesso remoto e uso das plataformas Terraform e Kubernetes. Alguns dos repositórios continham chaves criptografadas deixadas no código, que foram substituídas imediatamente após o incidente, apesar do uso de métodos de criptografia confiáveis.
Fonte: opennet.ru
