Cloudflare je hakovan koristeći podatke ukradene u Okta napadu
Cloudflare je hakovan koristeći podatke ukradene u Okta napadu, stoji u detaljnom opisu kompanije u kojem su osumnjičeni vladini špijuni dobili pristup njenoj internoj Atlassian instalaciji koristeći akreditive ukradene tokom napada na kompaniju Okta u oktobru.
CLOUDFLARE HAKOVANJE
Cloudflare je 23. novembra 2023. godine otkrio zlonamjernog aktera na svom Atlassian serveru. Napad je pokrenut korištenjem jednog ukradenog tokena za pristup i tri kompromitovana akreditiva naloga koji nemarom nisu izmijenjeni nakon napada na kompaniju Okta u oktobru 2023. godine.
Napadač je dobio pristup Cloudflare internom Atlassian serveru i pregledao osjetljivu dokumentaciju i izvorni kôd. Prema kompaniji Cloudflare, zlonamjerni akter se prvi put infiltrirao na Atlassian server kompanije koji sama hostuje 14. novembra 2023. godine. Nakon početne faze izviđanja, napadač je mogao da pristupi Cloudflare Confluence wiki i Jira bazama podataka za praćenje grešaka.
Dana 22. novembra 2023. godine, napadač je uspostavio postojan pristup Atlassian serveru koristeći zlonamjerni dodatak ScriptRunner za Jira. Ovo je omogućilo napadaču pristup Cloudflare Bitbucket izvornom repozitoriju kôda. Napadač je takođe neuspješno pokušao da pristupi serveru konzole povezanom sa Cloudflare centru podatka u Sao Paulu, Brazil.
Kompanija Cloudflare izjavila da je neuspjeh zlonamjernog aktera da dobije veći pristup unutar kompanije posljedica njene arhitekture nultog povjerenja (eng. zero trust architecture), koja se sprovodi nad kontrolom pristupa, firewall pravila i korištenje jakih bezbjednosnih ključeva.
CLOUDFLARE NEOVLAŠTENI PRISTUP
Kompanija Cloudflare otkrila neovlaštenu aktivnost 23. novembra 2023. godine i onemogućila pristup napadaču sljedećeg jutra. Forenzičari kompanije započeli su istragu 26. novembra 2023. godine, a kao dio odgovora na ovaj napad, Cloudflare je rotirao preko 5.000 akreditiva za proizvodnju, fizički izolovane sisteme za testiranje i postavljanje i izvršio forenzičku analizu na skoro 5.000 sistema. Svi serveri i mašine na Cloudflare globalnoj mreži su ponovo instalirani i ponovo pokrenuti.
Kompanija vjeruje da je cilj napadača bio da dobije veći pristup njenoj globalnoj mrežnoj infrastrukturi. Ispitivanjem wiki stranica kojima je napadač pristupao, servisu za podršku i izvornom kôdu, kompanija Cloudflare je utvrdila da napadač prikuplja obavještajne podatke o arhitekturi, bezbjednosti i upravljanju sistemima kompanije.
Pretpostavlja se da je 76 spremišta je možda eksfiltrirano, uglavnom u vezi sa rezervnim kopijama, konfiguracijom mreže, upravljanjem identitetom i Cloudflare korištenjem Terraform i Kubernetes alata. Mali broj eksfiltriranih podatka je sadržao šifrovane tajne, koje su od tada zamijenjene.
Napori na sanaciji su završeni pre skoro mjesec dana, 5. januara 2024. godine, ali kompanija kaže da njeno osoblje i dalje radi na poboljšanju softvera, kao i na upravljanju akreditivima i ranjivostima. Kompanija kaže da ovaj napad nije uticalo na Cloudflare korisničke podatke ili sisteme; njegove usluge, globalni mrežni sistemi ili konfiguracija takođe nisu bili pogođeni.
„Iako shvatamo da je operativni uticaj incidenta izuzetno ograničen, shvatili smo ovaj incident veoma ozbiljno, jer je zlonamjerni akter koristio ukradene akreditive da bi dobio pristup našem Atlassian serveru i pristupio nekoj dokumentaciji i ograničenoj količini izvornog kôda. Na osnovu naše saradnje sa kolegama u industriji i vladi, vjerujemo da je ovaj napad izveo napadač sponzorisan od strane države sa ciljem da dobije postojan i širok pristup globalnoj Cloudflare mreži.”
– Cloudflare CEO Matthew Prince, CTO John Graham-Cumming, i CISO Grant Bourzikas –
ZAKLJUČAK
Napad na kompaniju Cloudflare kao posljedica napada na kompaniju Okta, kao i napadi na kompanije Microsoft i HPE su moćni su podsjetnici da sajber prijetnje uvijek evoluiraju i da mogu da utiču na svakoga. Ovi događaji nas uče vrijednim lekcijama o tome kako da ojačamo odbranu od sajber napada. Kako se sajber prijetnje razvijaju, tako se moraju razvijati i strategije za borbu protiv njih. Posjedovanje dobrog plana odgovora na sajber prijetnju može pokazati kompanijama kako mogu da se kreću kroz složenost sajber bezbjednosnih izazova, ujedno obezbeđujući otpornost na taktike savremenih sajber protivnika.
ZAŠTITA
Evo nekoliko jednostavnih radnji koje korisnici mogu da primjene u cilju povećanja svoje sajber bezbjednosti:
- Sajber bezbjednost zahteva stalnu pažnju, pa se održavanje softvera i sistema ažurnim smatra dobrom praksom u zatvaranju sigurnosnih praznina koje napadači mogu da iskoriste da bi se ušunjali. Napad na kompaniju Cloudflare pokazuje zašto je redovno mijenjanje lozinki i pristupnih ključeva važno, posebno nakon bezbjednosnog incidenta,
- Dodatni sloj bezbjednosti kao što je autentifikacija u više koraka (eng. Multi-Factor Authentication – MFA) otežava napadačima da dobiju pristup korisničkim nalozima.
- Svaki korisnik može slučajnom greškom da omogući napadačima pristup svojim nalozima, uređaju ili poslovnom okruženju, često i ne shvatajući da je to uradio. Redovna obuka korisnika kako da primijete prevare poput phishing napada i edukacija o upotrebi dobrih bezbjednosnih praksi može da napravi veliku razliku.