Cloudflare взломали в ноябре с помощью токенов, похищенных во время атаки на Okta

Date:

Cloudflare взломали в ноябре с помощью токенов, похищенных во время атаки на Okta

Компания Cloudflare сообщила сегодня, что ее внутренний сервер Atlassian был взломан подозреваемым «злоумышленником против государства», который получил доступ к вики Confluence, базе данных ошибок Jira и системе управления исходным кодом Bitbucket.

Злоумышленник впервые получил доступ к собственному серверу Atlassian компании Cloudflare 14 ноября, а затем, проведя разведку, получил доступ к системам Confluence и Jira компании.

Затем они вернулись 22 ноября и установили постоянный доступ к нашему серверу Atlassian с помощью ScriptRunner для Jira, получили доступ к нашей системе управления исходным кодом (которая использует Atlassian Bitbucket) и безрезультатно пытались получить доступ к консольному серверу, который имел доступ к дата-центру, который Cloudflare еще не ввела в эксплуатацию в Сан-Паулу, Бразилия.

— сообщили генеральный директор Cloudflare Мэтью Принс, технический директор Джон Грэхем-Камминг и директор по информационной безопасности Грант Бурзикас

Для доступа к ее системам злоумышленники использовали один токен доступа и три учетных записи, похищенные во время предыдущей компрометации, связанной с утечкой Okta (которая является важной частью систем кибербезопасности крупных корпораций) в октябре 2023 года, которую Cloudflare не смогла восстановить, передает Bleeping Computer.

Okta потеряла более $2 млрд капитализации из-за дыры в кибербезопасности

Cloudflare обнаружила злонамеренную активность 23 ноября, утром 24 ноября прервала доступ хакера, а через три дня, 26 ноября, ее специалисты по кибербезопасности начали расследование.

Во время изучения деталей инцидента сотрудники Cloudflare провели ротацию всех производственных учетных данных (более 5 000 уникальных), физическую сегментацию тестовых и постановочных систем, выполнили криминалистическую сортировку 4 893 систем, создали новый образ и перезагрузили все системы в глобальной сети компании, включая все серверы Atlassian (Jira, Confluence и Bitbucket) и машины, к которым получал доступ злоумышленник.

Вечірній курс Fullstack Web Development. Курс з гнучким графіком, який навчить працювати як з фронтендом, так і з бекендом сайта. Ознайомитись з курсом

Работы по устранению последствий закончились почти месяц назад, 5 января, но компания заявляет, что ее сотрудники все еще работают над укреплением программного обеспечения, а также над управлением учетными данными и уязвимостями.

Компания заявляет, что это нарушение не повлияло на данные или системы клиентов Cloudflare, ее сервисы, глобальные сетевые системы или конфигурация также не пострадали.

Основываясь на нашем сотрудничестве с коллегами из индустрии и правительства, мы считаем, что эта атака была осуществлена злоумышленником против национального государства (nation state attacker) с целью получения постоянного и широкого доступа к глобальной сети Cloudflare.

Анализируя страницы, к которым они получили доступ, проблемы с базой данных ошибок и репозиториями исходного кода, кажется, что они искали информацию об архитектуре, безопасности и управлении нашей глобальной сетью, без сомнения, с целью завоевания более глубокого плацдарма.

Cloudflare, Google и Amazon о крупнейших в истории DDoS-атаках — что стало причиной?

Share post:

Subscribe

Популярное

Другие новости
Related

Италия призывает строить новый механизм обороны Европы вместе с Украиной

Европе предлагают новую модель безопасности Новая модель европейской безопасности...

США заявили про завершення хвилі ударів по Ірану та ураження десятків цілей, вперше використавши морські дрони

Центральне командування США (CENTCOM) повідомило про завершення нового етапу...

“Увидимся скоро”. Трамп рассказал о последнем звонке Грэма перед смертью сенатора

Сенатор жаловался на усталость и планировал встречу на воскресенье...