Cloudflare聘请安全公司CrowdStrike,针对自托管Atlassian服务器在2023年11月23日遭到攻击者入侵事件进行调查,完整调查报告已经出炉。报告指出这次的攻击行动是由经验丰富,而且国家所资助的攻击者所为,但因为在Cloudflare零信任架构的保护下,官方表示,客户数据与系统都没有因为该攻击事件受影响。
Cloudflare被攻击事件,要追溯至Okta在2023年10月被入侵,攻击者从Okta系统获得一组Cloudflare凭证访问权限。这些泄露的凭证本应该全部轮换,但是Cloudflare漏了1个服务令牌和3个服务账户的凭证。
其包含一个Moveworks服务令牌,具有远程访问Cloudflare Atlassian系统的权限,一个基于SaaS的Smartsheet应用程序所使用的服务账户凭证,能够用于访问Atlassian Jira执行实例,第二个账户是Bitbucket服务账户,用于访问程序代码管理系统,最后一个则是AWS服务账户,但为无法访问全球网络、客户和敏感数据的环境。
这些服务令牌和凭证就是攻击者进入Cloudflare系统,并且试图创建持久部署的关键,Cloudflare强调,这并非Atlassian、AWS、Moveworks或Smartsheet的错误,而是Cloudflare没有轮换凭证的问题。
攻击者先是在11月14日到17日进行侦察,访问Cloudflare内部的wiki以及错误数据库,11月20日与11月21日测试访问以确认仍可连接。真正的攻击行动从11月22日开始,攻击者使用ScriptRunner for Jira创建对Atlassian服务器的持久访问,并且获得程序代码管理系统Atlassian Bitbucket访问权限,并尝试访问Cloudflare巴西数据中心控制台服务器,但是并未成功。
所有攻击访问和连接都在11月24日终止,虽然攻击者在这个攻击行动中所造成的影响有限,但Cloudflare严肃看待该事件,毕竟攻击者使用了偷来的凭证,访问Atlassian服务器上的部分文件和程序代码。在Cloudflare、业界与政府合作调查下,确认这次攻击来自国家资助攻击者,其目的是要获得Cloudflare全球网络持久且广泛的访问能力。
经过CrowdStrike的调查,并没有发现更多的攻击者活动,但Cloudflare仍全面轮换所有产品凭证,并且进行彻底的检查。Cloudflare还将巴西数据中心设备,交由供应商鉴识团队检查,确认攻击者没有成功入侵的痕迹,不过即便如此,Cloudflare慎重起见仍更换了硬件。