受Okta牵连Cloudflare完成入侵调查,客户数据与系统均未受影响

来源: 十轮网
作者:十轮网
时间:2024-02-07
2472
Cloudflare聘请安全公司CrowdStrike,针对自托管Atlassian服务器在2023年11月23日遭到攻击者入侵事件进行调查,完整调查报告已经出炉。

1002-cloudflare-back-960_0.jpg

Cloudflare聘请安全公司CrowdStrike,针对自托管Atlassian服务器在2023年11月23日遭到攻击者入侵事件进行调查,完整调查报告已经出炉。报告指出这次的攻击行动是由经验丰富,而且国家所资助的攻击者所为,但因为在Cloudflare零信任架构的保护下,官方表示,客户数据与系统都没有因为该攻击事件受影响。

Cloudflare被攻击事件,要追溯至Okta在2023年10月被入侵,攻击者从Okta系统获得一组Cloudflare凭证访问权限。这些泄露的凭证本应该全部轮换,但是Cloudflare漏了1个服务令牌和3个服务账户的凭证。

其包含一个Moveworks服务令牌,具有远程访问Cloudflare Atlassian系统的权限,一个基于SaaS的Smartsheet应用程序所使用的服务账户凭证,能够用于访问Atlassian Jira执行实例,第二个账户是Bitbucket服务账户,用于访问程序代码管理系统,最后一个则是AWS服务账户,但为无法访问全球网络、客户和敏感数据的环境。

这些服务令牌和凭证就是攻击者进入Cloudflare系统,并且试图创建持久部署的关键,Cloudflare强调,这并非Atlassian、AWS、Moveworks或Smartsheet的错误,而是Cloudflare没有轮换凭证的问题。

攻击者先是在11月14日到17日进行侦察,访问Cloudflare内部的wiki以及错误数据库,11月20日与11月21日测试访问以确认仍可连接。真正的攻击行动从11月22日开始,攻击者使用ScriptRunner for Jira创建对Atlassian服务器的持久访问,并且获得程序代码管理系统Atlassian Bitbucket访问权限,并尝试访问Cloudflare巴西数据中心控制台服务器,但是并未成功。

所有攻击访问和连接都在11月24日终止,虽然攻击者在这个攻击行动中所造成的影响有限,但Cloudflare严肃看待该事件,毕竟攻击者使用了偷来的凭证,访问Atlassian服务器上的部分文件和程序代码。在Cloudflare、业界与政府合作调查下,确认这次攻击来自国家资助攻击者,其目的是要获得Cloudflare全球网络持久且广泛的访问能力。

经过CrowdStrike的调查,并没有发现更多的攻击者活动,但Cloudflare仍全面轮换所有产品凭证,并且进行彻底的检查。Cloudflare还将巴西数据中心设备,交由供应商鉴识团队检查,确认攻击者没有成功入侵的痕迹,不过即便如此,Cloudflare慎重起见仍更换了硬件。

立即登录,阅读全文
版权说明:
本文内容来自于十轮网,本站不拥有所有权,不承担相关法律责任。文章内容系作者个人观点,不代表快出海对观点赞同或支持。如有侵权,请联系管理员(zzx@kchuhai.com)删除!
优质服务商推荐
更多
扫码登录
打开扫一扫, 关注公众号后即可登录/注册
加载中
二维码已失效 请重试
刷新
账号登录/注册
个人VIP
小程序
快出海小程序
公众号
快出海公众号
商务合作
商务合作
投稿采访
投稿采访
出海管家
出海管家