{"id":6000,"date":"2024-02-02T20:59:52","date_gmt":"2024-02-02T19:59:52","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6000"},"modified":"2024-02-02T20:59:52","modified_gmt":"2024-02-02T19:59:52","slug":"cloudflare-je-hakovan-koristeci-podatke-ukradene-u-okta-napadu","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/02\/02\/cloudflare-je-hakovan-koristeci-podatke-ukradene-u-okta-napadu\/","title":{"rendered":"Cloudflare je hakovan koriste\u0107i podatke ukradene u Okta napadu"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>Cloudflare<\/em> je hakovan koriste\u0107i podatke ukradene u <em>Okta<\/em> napadu, <a href=\"https:\/\/blog.cloudflare.com\/thanksgiving-2023-security-incident\" target=\"_blank\" rel=\"noopener\">stoji u detaljnom opisu kompanije<\/a>\u00a0 u kojem su osumnji\u010deni vladini \u0161pijuni dobili pristup njenoj internoj <em>Atlassian<\/em> instalaciji koriste\u0107i akreditive ukradene tokom napada na <a href=\"https:\/\/www.cyberkendra.com\/2022\/03\/okta-service-hacked-by-lapsus-gained.html\" target=\"_blank\" rel=\"noopener\">kompaniju <em>Okta<\/em> u oktobru<\/a>.<\/span><\/p>\n<div id=\"attachment_6004\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6004\" class=\"wp-image-6004 size-full\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Cloudflare.jpg\" alt=\"Cloudflare\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Cloudflare.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Cloudflare-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Cloudflare-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Cloudflare-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Cloudflare-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Cloudflare-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Cloudflare-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6004\" class=\"wp-caption-text\"><em>Cloudflare je hakovan koriste\u0107i podatke ukradene u Okta napadu; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/02\/cloudflare-je-hakovan-koristeci-podatke-ukradene-u-okta-napadu\/#CLOUDFLARE_HAKOVANJE\">CLOUDFLARE HAKOVANJE<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/02\/cloudflare-je-hakovan-koristeci-podatke-ukradene-u-okta-napadu\/#CLOUDFLARE_NEOVLASTENI_PRISTUP\">CLOUDFLARE NEOVLA\u0160TENI PRISTUP<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/02\/cloudflare-je-hakovan-koristeci-podatke-ukradene-u-okta-napadu\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/02\/cloudflare-je-hakovan-koristeci-podatke-ukradene-u-okta-napadu\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"CLOUDFLARE_HAKOVANJE\"><\/span><span style=\"font-size: 14pt;\"><strong><em>CLOUDFLARE<\/em> HAKOVANJE<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Cloudflare<\/em> je 23. novembra 2023. godine otkrio <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog aktera<\/a> na svom <em>Atlassian<\/em> serveru. Napad je pokrenut kori\u0161tenjem jednog ukradenog tokena za pristup i tri kompromitovana akreditiva naloga koji nemarom nisu izmijenjeni nakon napada na\u00a0 kompaniju <em>Okta<\/em> u oktobru 2023. godine.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Napada\u010d je dobio pristup <em>Cloudflare <\/em>internom <em>Atlassian<\/em> serveru i pregledao osjetljivu dokumentaciju i izvorni k\u00f4d. Prema kompaniji <em>Cloudflare<\/em>, zlonamjerni akter se prvi put infiltrirao na <em>Atlassian<\/em> server kompanije koji sama hostuje 14. novembra 2023. godine. Nakon po\u010detne faze izvi\u0111anja, napada\u010d je mogao da pristupi <em>Cloudflare<\/em> <em>Confluence wiki<\/em> i <em>Jira<\/em> bazama podataka za prac\u0301enje gre\u0161aka.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Dana 22. novembra 2023. godine, napada\u010d je uspostavio postojan pristup <em>Atlassian<\/em> serveru koriste\u0107i zlonamjerni dodatak <em>ScriptRunner<\/em> za <em>Jira<\/em>. Ovo je omogu\u0107ilo napada\u010du pristup <em>Cloudflare Bitbucket<\/em> izvornom repozitoriju k\u00f4da. Napada\u010d je tako\u0111e neuspje\u0161no poku\u0161ao da pristupi serveru konzole povezanom sa <em>Cloudflare<\/em> centru podatka u Sao Paulu, Brazil.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kompanija <em>Cloudflare <\/em>izjavila da je neuspjeh zlonamjernog aktera da dobije ve\u0107i pristup unutar kompanije posljedica njene arhitekture nultog povjerenja (eng. <em>zero trust architecture<\/em>), koja se sprovodi nad kontrolom pristupa, <em>firewall<\/em> pravila i kori\u0161tenje jakih bezbjednosnih klju\u010deva.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"CLOUDFLARE_NEOVLASTENI_PRISTUP\"><\/span><span style=\"font-size: 14pt;\"><strong><em>CLOUDFLARE <\/em>NEOVLA\u0160TENI PRISTUP<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kompanija <em>Cloudflare<\/em> otkrila neovla\u0161tenu aktivnost 23. novembra 2023. godine i onemogu\u0107ila pristup napada\u010du sljede\u0107eg jutra. Forenzi\u010dari kompanije zapo\u010deli su istragu 26. novembra 2023. godine, a kao dio odgovora na ovaj napad, <em>Cloudflare<\/em> je rotirao preko 5.000 akreditiva za proizvodnju, fizi\u010dki izolovane sisteme za testiranje i postavljanje i izvr\u0161io forenzi\u010dku analizu na skoro 5.000 sistema. Svi serveri i ma\u0161ine na <em>Cloudflare<\/em> globalnoj mre\u017ei su ponovo instalirani i ponovo pokrenuti.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kompanija vjeruje da je cilj napada\u010da bio da dobije ve\u0107i pristup njenoj globalnoj mre\u017enoj infrastrukturi. Ispitivanjem <em>wiki<\/em> stranica kojima je napada\u010d pristupao, servisu za podr\u0161ku i izvornom k\u00f4du, kompanija <em>Cloudflare<\/em> je utvrdila da napada\u010d prikuplja obavje\u0161tajne podatke o arhitekturi, bezbjednosti i upravljanju sistemima kompanije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pretpostavlja se da je 76 spremi\u0161ta je mo\u017eda eksfiltrirano, uglavnom u vezi sa rezervnim kopijama, konfiguracijom mre\u017ee, upravljanjem identitetom i <em>Cloudflare<\/em> kori\u0161tenjem <em>Terraform<\/em> i <em>Kubernetes<\/em> alata. Mali broj eksfiltriranih podatka je sadr\u017eao \u0161ifrovane tajne, koje su od tada zamijenjene.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Napori na sanaciji su zavr\u0161eni pre skoro mjesec dana, 5. januara 2024. godine, ali kompanija ka\u017ee da njeno osoblje i dalje radi na pobolj\u0161anju softvera, kao i na upravljanju akreditivima i ranjivostima. Kompanija ka\u017ee da ovaj napad nije uticalo na <em>Cloudflare<\/em> korisni\u010dke podatke ili sisteme; njegove usluge, globalni mre\u017eni sistemi ili konfiguracija tako\u0111e nisu bili pogo\u0111eni.<\/span><\/p>\n<blockquote><p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\"><em>\u201eIako shvatamo da je operativni uticaj incidenta izuzetno ograni\u010den, shvatili smo ovaj incident veoma ozbiljno, jer je zlonamjerni akter koristio ukradene akreditive da bi dobio pristup na\u0161em Atlassian serveru i pristupio nekoj dokumentaciji i ograni\u010denoj koli\u010dini izvornog k\u00f4da. Na osnovu na\u0161e saradnje sa kolegama u industriji i vladi, vjerujemo da je ovaj napad izveo napada\u010d sponzorisan od strane dr\u017eave sa ciljem da dobije postojan i \u0161irok pristup globalnoj Cloudflare mre\u017ei.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; Cloudflare CEO Matthew Prince, CTO John Graham-Cumming, i CISO Grant Bourzikas &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Napad na kompaniju <em>Cloudflare<\/em> kao posljedica napada na kompaniju <em>Okta<\/em>, kao i napadi na kompanije <a href=\"https:\/\/sajberinfo.com\/en\/2024\/01\/27\/kompromitovane-kompanije-microsoft-i-hpe\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>Microsoft<\/em> i <em>HPE<\/em><\/a> su mo\u0107ni su podsjetnici da sajber prijetnje uvijek evoluiraju i da mogu da uti\u010du na svakoga. Ovi doga\u0111aji nas u\u010de vrijednim lekcijama o tome kako da oja\u010damo odbranu od sajber napada. Kako se sajber prijetnje razvijaju, tako se moraju razvijati i strategije za borbu protiv njih. Posjedovanje dobrog <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">plana odgovora na sajber prijetnju<\/a> mo\u017ee pokazati kompanijama kako\u00a0 mogu da se kre\u0107u kroz slo\u017eenost sajber bezbjednosnih izazova, ujedno obezbe\u0111uju\u0107i otpornost na taktike savremenih sajber protivnika.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Evo\u00a0 nekoliko jednostavnih radnji koje korisnici mogu da primjene u cilju pove\u0107anja svoje <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a>:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Sajber bezbjednost zahteva stalnu pa\u017enju, pa se odr\u017eavanje softvera i sistema a\u017eurnim smatra dobrom praksom u zatvaranju sigurnosnih praznina koje napada\u010di mogu da iskoriste da bi se u\u0161unjali. Napad na kompaniju\u00a0 <em>Cloudflare <\/em>pokazuje za\u0161to je redovno mijenjanje <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinki<\/a> i pristupnih klju\u010deva va\u017eno, posebno nakon bezbjednosnog incidenta,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Dodatni sloj bezbjednosti kao \u0161to je autentifikacija u vi\u0161e koraka (eng. <em>Multi-Factor Authentication \u2013 MFA<\/em>) ote\u017eava napada\u010dima da dobiju pristup korisni\u010dkim nalozima.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Svaki korisnik mo\u017ee slu\u010dajnom gre\u0161kom da omogu\u0107i napada\u010dima pristup svojim nalozima, ure\u0111aju ili poslovnom okru\u017eenju, \u010desto i ne shvataju\u0107i da je to uradio. Redovna obuka korisnika kako da primijete prevare poput <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> napada<\/a> i edukacija o upotrebi dobrih bezbjednosnih praksi mo\u017ee da napravi veliku razliku.<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Cloudflare je hakovan koriste\u0107i podatke ukradene u Okta napadu, stoji u detaljnom opisu kompanije\u00a0 u kojem su osumnji\u010deni vladini \u0161pijuni dobili pristup njenoj internoj Atlassian instalaciji koriste\u0107i akreditive ukradene tokom napada na kompaniju Okta&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6004,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[714,713,716,200,715,717],"class_list":["post-6000","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-atlassian","tag-cloudflare","tag-jira","tag-okta","tag-scriptrunner","tag-wiki"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6000","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6000"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6000\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6004"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6000"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6000"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6000"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}