Önde gelen bir web güvenliği ve performans şirketi olan Cloudflare, önemli bir siber güvenlik olayında, bir ulus devlet aktörünün karmaşık bir bilgisayar korsanlığı girişimi tarafından hedef alındığını açıkladı. Kasım 2023’te gerçekleşen saldırı, Cloudflare’in kendi kendine barındırılan Atlassian sunucusunun ele geçirilmesini içeriyordu.
Tehdit aktörü, 14-17 Kasım tarihleri arasında Cloudflare’in dahili wiki ve hata veritabanını hedef alarak keşif gerçekleştirdi. 22 Kasım’da geri dönerek Jira için ScriptRunner aracılığıyla kalıcı erişim sağladılar ve Cloudflare’in kaynak kodu yönetim sistemine ve São Paulo, Brezilya’daki başlatılmamış bir veri merkezine bağlı bir konsol sunucusuna sızmaya çalıştılar.
Bu ihlal, Ekim 2023’te Cloudflare’in rotasyona tabi tutmadığı Okta uzlaşmasından elde edilen kimlik bilgileriyle kolaylaştırıldı. Gözetim, tehdit aktörünün erişimi elde etmek ve sürdürmek için bir erişim jetonu ve üç hizmet hesabı kimlik bilgisi kullanmasına izin verdi.
İhlalin ardından Cloudflare bir “Kırmızı Kod” iyileştirme ve güçlendirme çalışması başlattı. Bu, Cloudflare’in teknik personelinin önemli bir kısmının güvenlik kontrollerini güçlendirmeye ve tehdit aktörünün artık ortama erişememesini sağlamaya odaklanmasını içeriyordu. Önlemler arasında 5.000’den fazla üretim bilgisinin döndürülmesi, sistemlerin fiziksel olarak bölümlere ayrılması ve yaklaşık 5.000 sistemde adli önceliklendirme yapılması yer alıyordu.
CrowdStrike’ın bağımsız değerlendirmesi Cloudflare’in bulgularını doğruladı ve sistemlerde tehdit aktörlerinin varlığının devam etmediğini garantiledi. Soruşturma, oyuncunun Cloudflare’in küresel ağ mimarisini anlamaya odaklandığını ortaya çıkardı ve bu da kapsamlı bir güvenlik revizyonuna yol açtı.
- Hedef ve Yöntem: Cloudflare, saldırının dahili sistemlerine odaklandığını, özellikle de kendi kendine barındırılan Atlassian sunucusunu hedef aldığını ortaya çıkardı. Saldırganlar, ulus devlet destekli bir saldırının göstergesi olan karmaşık yöntemler kullandı.
- Tespit ve Yanıt: Cloudflare, yetkisiz erişimi derhal tespit etti ve ihlali azaltmak için derhal harekete geçti. Şirket, dış güvenlik uzmanları ve kolluk kuvvetleriyle yakın işbirliği içinde çalışarak kapsamlı bir soruşturma yürüttü.
Hack’in Etkisi
- Hiçbir Müşteri Verisi Tehlikede Değil: Cloudflare’e göre ihlalin müşteri verilerini, Cloudflare hizmetlerini, küresel ağ sistemlerini veya yapılandırma verilerini etkilediğine dair hiçbir kanıt yoktu. Şirket, müşteriye yönelik hizmetlerinin bütünlüğünün bozulmadan kaldığını vurguladı.
- Etkilenen İç Sistemler: İhlal, saldırganların Cloudflare’in bazı dahili sistemlerine erişmesine izin verdi. Ancak şirket, ihlalin kontrol altına alındığını ve etkilenen sistemlerin müşteri verilerini ve hizmetlerini barındıran sistemlerden izole edildiğini garanti etti.
Cloudflare’in Yanıtı
2023 Şükran Günü’nde tespit edilen karmaşık bir güvenlik ihlaline yanıt olarak Cloudflare, olası tehditleri azaltmak ve altyapısını korumak için bir dizi kapsamlı güvenlik önlemi aldı. Bir tehdit aktörünün Cloudflare’in Atlassian sunucusuna sızdığı olay, şirketin kapsamlı bir güvenlik revizyonu uygulamasına yol açtı. Bu, şirketin en yüksek güvenlik standartlarını sürdürme konusundaki kararlılığının bir kanıtı olan 5.000’den fazla üretim belgesinin rotasyonunu da içeriyordu.
Cloudflare, savunmasını daha da güçlendirmek için test ve hazırlama sistemlerini fiziksel olarak bölümlere ayırdı. Bu hamle, geliştirme ortamlarının güvenliğini artırmayı ve bu alanlardaki olası herhangi bir ihlalin üretim sistemlerini etkilememesini sağlamayı amaçlıyordu. Ayrıca şirket 4.893 sistemde adli triyaj gerçekleştirdi. Bu kapsamlı inceleme, Cloudflare’in ağını kapsamlı bir şekilde değerlendirip güçlendirmesine, tehdit aktörleri tarafından istismar edilebilecek tüm güvenlik açıklarını belirleyip ele almasına olanak tanıdı.
Cloudflare, benzeri görülmemiş bir adımla küresel ağındaki her makinenin görüntüsünü yeniden oluşturdu ve yeniden başlattı. Bu eylem, tehdit aktörünün varlığına dair tüm kalıntıların ortadan kaldırılmasını ve sistemlerin güvenli bir duruma sıfırlanmasını sağladı. Böylesine kararlı bir yanıt, Cloudflare’in siber güvenliğe yönelik proaktif yaklaşımını vurgulayarak küresel altyapısının bütünlüğünü ve dayanıklılığını sağlıyor.
Güvenlik olayı, tehdit aktörünün Cloudflare’in Atlassian Confluence ve Jira portallarına eriştiği dört günlük bir keşif dönemiyle başlayan birkaç gün içinde gerçekleşti. Düşman, gelişmiş teknikler kullanarak hileli bir Atlassian kullanıcı hesabı oluşturarak Cloudflare’in Atlassian sunucusuna kalıcı erişim sağladı. Bu erişim, tehdit aktörünün Bitbucket kaynak kodu yönetim sistemine sızmasını ve saldırılarını derinleştirmek için Sliver rakip simülasyon çerçevesinden yararlanmasını sağladı.
Cloudflare’in araştırması, saldırgan tarafından 120 kadar kod deposunun görüntülendiğini ve bu depolardan tahminen 76’sının sızdırıldığına inanıldığını ortaya çıkardı. Bu ihlal, hassas bilgilerin ve fikri mülkiyetin potansiyel olarak açığa çıkmasıyla ilgili endişeleri artırdı. Ancak Cloudflare’in hızlı ve kapsamlı tepkisi, müşteriler ve paydaşlarla şeffaf iletişimiyle birleştiğinde, şirketin güvenliğe ve güvene olan bağlılığının bir örneğidir.
Cloudflare’e yönelik hackleme girişimi, teknoloji şirketlerinin, özellikle de ulus devlet aktörlerinin karşı karşıya kaldığı devam eden siber güvenlik tehditlerine dikkat çekiyor. Cloudflare’in proaktif tepkisi ve şeffaflığı, şirketlerin güvenlik olaylarını nasıl ele alabilecekleri konusunda bir model görevi görüyor. İhlal önemli olsa da Cloudflare’in müşteri verilerinin ve hizmetlerinin tehlikeye atılmadığına dair güvencesi, güvenlik önlemlerinin etkinliğinin bir kanıtıdır.
Bilgi güvenliği uzmanı, şu anda risk altyapısı uzmanı ve araştırmacısı olarak çalışmaktadır.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.