Cloudflare bugün dahili Atlassian sunucusunun, Confluence wiki’sine, Jira hata veritabanına ve Atlassian Bitbucket kaynak kodu yönetim sistemine erişen bir ‘ulus devlet’ saldırganı tarafından ihlal edildiğini açıkladı.
Tehdit aktörü ilk olarak 14 Kasım’da Cloudflare’in kendi kendine barındırılan Atlassian sunucusuna erişim sağladı ve ardından bir keşif aşamasının ardından şirketin Confluence ve Jira sistemlerine erişti.
“Daha sonra 22 Kasım’da geri döndüler ve Jira için ScriptRunner’ı kullanarak Atlassian sunucumuza kalıcı erişim sağladılar, kaynak kodu yönetim sistemimize (Atlassian Bitbucket kullanan) erişim sağladılar ve başarısız bir şekilde erişimi olan bir konsol sunucusuna erişmeyi denediler. Cloudflare, Brezilya’nın São Paulo kentinde henüz Cloudflare’in üretime geçirmediği veri merkezini kurdu” dedi.
Saldırganlar, sistemlerine erişmek için, Okta’nın Ekim 2023’teki ihlaliyle bağlantılı olarak Cloudflare’in rotasyonu gerçekleştiremediği önceki bir güvenlik ihlali sırasında çalınan bir erişim jetonunu ve üç hizmet hesabı kimlik bilgisini kullandı (Okta güvenliği sırasında binlerce kimlik bilgisi sızdırılmıştı).
Cloudflare, kötü amaçlı etkinliği 23 Kasım’da tespit etti, 24 Kasım sabahı bilgisayar korsanının erişimini kesti ve siber güvenlik adli tıp uzmanları, üç gün sonra, 26 Kasım’da olayı araştırmaya başladı.
Şirket, bu ihlalin Cloudflare müşteri verilerini veya sistemlerini etkilemediğini söylüyor; hizmetleri, küresel ağ sistemleri veya yapılandırması da etkilenmedi.
“Olayın operasyonel etkisinin son derece sınırlı olduğunu anlasak da, bir tehdit aktörünün Atlassian sunucumuza erişim sağlamak için çalıntı kimlik bilgilerini kullanması ve bazı belgelere ve sınırlı miktarda kaynak koduna erişmesi nedeniyle bu olayı çok ciddiye aldık.” Cloudflare dedi.
“Sektördeki ve hükümetteki meslektaşlarımızla yaptığımız işbirliğine dayanarak, bu saldırının, Cloudflare’in küresel ağına kalıcı ve yaygın erişim sağlamak amacıyla bir ulus devlet saldırganı tarafından gerçekleştirildiğine inanıyoruz.”
18 Ekim 2023’te Cloudflare’in Okta örneği, Okta’nın destek sisteminden çalınan bir kimlik doğrulama jetonu kullanılarak ihlal edildi.
Olayın ardından şirket, Güvenlik Olayına Müdahale Ekibinin hızlı müdahalesinin Cloudflare sistemleri ve verileri üzerindeki etkiyi kontrol altına aldığını ve en aza indirdiğini ve hiçbir Cloudflare müşteri bilgilerinin veya sisteminin etkilenmediğini söyledi.