کلاؤڈ فلیئر، جو کہ مواد کی ترسیل کا نیٹ ورک فراہم کرتا ہے جو کہ انٹرنیٹ ٹریفک کا تقریباً 20% حصہ رکھتا ہے، نے اپنے انفراسٹرکچر میں سے ایک سرور کے ہیک ہونے کی رپورٹ شائع کی ہے، جس نے Atlassian Confluence پلیٹ فارم، Atlassian Jira کی بنیاد پر ایک اندرونی ویکی سائٹ کو چلایا تھا۔ ایشو ٹریکنگ سسٹم اور بٹ بکٹ کوڈ مینجمنٹ سسٹم۔ تجزیہ سے پتہ چلتا ہے کہ حملہ آور اوکٹا کے اکتوبر کے ہیک کے نتیجے میں حاصل کردہ ٹوکنز کا استعمال کرتے ہوئے سرور تک رسائی حاصل کرنے میں کامیاب رہا، جس کی وجہ سے رسائی ٹوکنز لیک ہو گئے۔
موسم خزاں میں Okta ہیک کے بارے میں معلومات کے انکشاف کے بعد، Cloudflare نے Okta سروسز کے ذریعے استعمال ہونے والی اسناد، کلیدوں اور ٹوکنز کو اپ ڈیٹ کرنے کا عمل شروع کیا، لیکن جیسا کہ یہ ہوا، ایک ٹوکن اور تین اکاؤنٹس (کئی ہزار میں سے) اس کے نتیجے میں سمجھوتہ ہو گئے۔ Okta ہیک کو تبدیل نہیں کیا گیا اور ایکٹ جاری رکھا، جس کا حملہ آور نے فائدہ اٹھایا۔ ان اسناد کو ناقابل استعمال سمجھا جاتا تھا، لیکن درحقیقت اٹلاسین پلیٹ فارم، بٹ بکٹ کوڈ مینجمنٹ سسٹم، اٹلاسین جیرا ماحول تک انتظامی رسائی کے ساتھ ایک SaaS ایپلیکیشن، اور AWS میں ایک ایسا ماحول جس نے Cloudflare Apps ڈائرکٹری کی خدمت کی، لیکن اس کی اجازت نہیں تھی۔ CDN انفراسٹرکچر تک رسائی اور خفیہ ڈیٹا کو ذخیرہ نہیں کرتا ہے۔
اس واقعے نے Cloudflare صارفین کے ڈیٹا یا سسٹمز کو متاثر نہیں کیا۔ ایک آڈٹ نے اس بات کا تعین کیا کہ حملہ اٹلاسیئن پروڈکٹس چلانے والے سسٹمز تک محدود تھا اور دوسرے سسٹمز تک نہیں پھیلا۔ سرورCloudflare کے زیرو ٹرسٹ ماڈل اور بنیادی ڈھانچے کے حصوں کو الگ تھلگ کرنے کی بدولت۔
Cloudflare سرور ہیک 23 نومبر کو دریافت کیا گیا تھا، اور 14 نومبر کو وکی اور ایشو ٹریکنگ سسٹم تک غیر مجاز رسائی کے پہلے نشانات کا پتہ چلا تھا۔ 22 نومبر کو، حملہ آور نے ایک مستقل رسائی بیک ڈور انسٹال کیا، جسے ScriptRunner for Jira کا استعمال کرتے ہوئے بنایا گیا تھا۔ اسی دن، حملہ آور نے سورس کوڈ مینجمنٹ سسٹم تک رسائی حاصل کی، جس میں Atlassian Bitbucket پلیٹ فارم استعمال ہوتا تھا۔ اس کے بعد کنسول سے رابطہ قائم کرنے کی کوشش کی گئی۔ سرور, برازیل میں ابھی تک آپریشنل ڈیٹا سینٹر تک رسائی کے لیے استعمال کیا جاتا ہے، لیکن کنکشن کی تمام کوششیں ناکام رہیں۔
بظاہر، حملہ آور کی سرگرمی مواد کی ترسیل کے نیٹ ورک کے فن تعمیر کا مطالعہ کرنے اور کمزوریوں کی تلاش تک محدود تھی۔ حملہ آور نے ریموٹ رسائی، راز، اوپن کنیکٹ، کلاؤڈ فلارڈ، اور ٹوکنز سے متعلق کلیدی الفاظ کے لیے وکی سرچ کا استعمال کیا۔ حملہ آور نے 202 ویکی صفحات (194100 میں سے) کھولنے اور 36 مسائل کی رپورٹیں (2059357 میں سے) کمزوریوں اور کلیدی گردش کے انتظام سے متعلق ریکارڈ کیں۔ 120 کوڈ ریپوزٹریز (11904 میں سے) کے ڈاؤن لوڈ کا بھی پتہ چلا، جن میں سے زیادہ تر بیک اپ، CDN کنفیگریشن اور مینجمنٹ، شناختی نظام، ریموٹ رسائی اور Terraform اور Kubernetes پلیٹ فارمز کے استعمال سے متعلق ہیں۔ کچھ ذخیروں میں کوڈ میں رہ جانے والی خفیہ کردہ چابیاں موجود تھیں، جنہیں خفیہ کاری کے قابل اعتماد طریقوں کے استعمال کے باوجود واقعے کے فوراً بعد تبدیل کر دیا گیا تھا۔
ماخذ: opennet.ru
