Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Cloudflare: ktoś zhackował nasze wewnętrzne systemy: Jira, Confluence oraz repozytorium kodu. W akcji zaawansowana grupa hackerska powiązana z rządem. Ukrywali się w sieci ~7 dni
Cloudflare informuje tutaj o incydencie, który miał miejsce pod koniec 2023 roku. Atakujący uzyskali dostęp do Confluence (wiki) oraz Jiry, a zostali wykryci dopiero po przeszło tygodniu (23 listopada 2023):
From November 14 to 17, a threat actor did reconnaissance and then accessed our internal wiki (which uses Atlassian Confluence) and our bug database (Atlassian Jira). (…) On Thanksgiving Day, November 23, 2023, Cloudflare detected a threat actor on our self-hosted Atlassian server.
Co więcej, atakujący korzystając ze zdobytych w pierwszym etapie uprawnień, uzyskali również dostęp do repozytorium kodu:
They then returned on November 22 and established persistent access to our Atlassian server using ScriptRunner for Jira, gained access to our source code management system (which uses Atlassian Bitbucket).
Jak do tego doszło? Cloudflare informuje, że atakujący uzyskali m.in. dostęp do danych uwierzytelniających kont serwisowych, które to dane wyciekły w wyniku październikowego ataku na Okta. Nie no, ale przecież Clouflare wiedział o ataku i zresetował dane dostępowe! Nie, nie zresetował…:
They did this by using one access token and three service account credentials that had been taken, and that we failed to rotate
Wygląda na to że atakujący aktywnie poszukiwali informacji o takich obszarach jak: bezpieczeństwo, zarządzanie globalną siecią Cloudflare oraz jej architektura. W szczególności nastąpił dostęp do ticketów Jira związanych z tematami: zarządzanie podatnościami, omijanie MFA, sam incydent Okta, o którym wspominaliśmy wcześniej, a dzięki któremu atakujący przeniknęli do sieci Cloudflare.
Atakujący uzyskali również dostęp do 72 repozytoriów kodu:
Over the next day, the threat actor viewed 120 code repositories (out of a total of 11,904 repositories). Of the 120, the threat actor used the Atlassian Bitbucket git archive feature on 76 repositories to download them to the Atlassian server, and even though we were not able to confirm whether or not they had been exfiltrated, we decided to treat them as having been exfiltrated.
Na koniec Cloudflare informuje, że dane klientów są bezpieczne:
We want to emphasize to our customers that no Cloudflare customer data or systems were impacted by this event.
~ms
> Na koniec Cloudflare informuje, że dane klientów są bezpieczne:
Uff, to wszystko OK, możemy spać spokojnie.
Nie wiem, czy akurat ma to z tym związek, ale dzisiaj antywirus AVG pokazał mi ostrzeżenie (miałem ustawione DNS-y Cloudflare): Zagrożenie zneutralizowane. Bezpiecznie przerwaliśmy połączenie ze stroną chrome.cloudflare-dns.com, ponieważ była zainfekowana przez URL:Phishing.