Dalış Özeti:
- Kimlik tabanlı bir saldırı Cloudflare daha önce kontrollü ve etkisiz olduğu beyan edilmişti tam tersi olduğu ortaya çıktı. Şirket Perşembe günü yaptığı açıklamada, Ekim ortasında Cloudflare’in Okta ortamına izinsiz giren tehdit aktörünün Kasım ortasında içerik dağıtım ağının bazı sistemlerine yeniden erişim sağladığını söyledi. Blog yazısı.
- Tehdit aktörü bir erişim belirteci ve üç hizmet hesabı kimlik bilgisi kullandı Cloudflare, ortamın bir güvenlik açığı tarafından tehlikeye atılmasının ardından rotasyonda başarısız oldu. Ekim başında Okta’ya saldırışirket dedi. Okta olayı sonuçta tek oturum açma sağlayıcılarının tümüne ilişkin verileri açığa çıkardı müşteri destek sistemi istemcileri.
- CEO Matthew Prince, CTO John Graham-Cumming ve CSO Grant Bourzikas blog yazısında “Müşterilerimize hiçbir Cloudflare müşteri verilerinin veya sisteminin bu etkinlikten etkilenmediğini vurgulamak istiyoruz” dedi.
Dalış Bilgisi:
Cloudflare’de devam eden saldırı, Cloudflare’i etkileyen, Okta’nın sistemlerine yönelik ikinci bir riskin devamına işaret ediyordu. Bu açığa çıkma, bir tehdit aktörünün Cloudflare’inkiler de dahil olmak üzere Okta’nın bazı müşterilerinin kimlik bilgilerine erişmesine olanak tanıdı.
İçerik dağıtım ağı ve siber güvenlik firması, geçen yıl Okta ile bağlantılı çok sayıda saldırıyı engelledi. Okta destek mühendisinin sisteminin ihlali Ocak 2022’de ve sahte Cloudflare Okta giriş sayfasını içeren kimlik avı saldırısı Ağustos 2022’de üç çalışanın aşık olduğu.
“Bir hizmet tokenı ve üç hesap, yanlışlıkla kullanılmadıklarına inanıldığı için döndürülmedi. Bu yanlıştı ve tehdit aktörünün sistemlerimize ilk kez bu şekilde girip Atlassian ürünlerimizde kalıcılık kazanmasının yolu buydu” dedi Cloudflare yöneticileri blog yazısında.
Cloudflare ve olay müdahale firması CrowdStrike’ın ulus devlet saldırganı olduğuna inandığı tehdit aktörü, aşağıdakiler de dahil olmak üzere birden fazla Cloudflare sistemine erişti:
- Tehdit aktörünün güvenlik açığı yönetimi, sır rotasyonu, çok faktörlü kimlik doğrulamayı atlama, ağ erişimi ve Cloudflare’in Okta olayına tepkisi ile ilgili Jira biletlerine erişmek için aradığı şirketin Atlassian sunucusu.
- Cloudflare’in Atlassian Bitbucket’teki kaynak kodu yönetim sistemi, 76’sı sızdırılmış olan 120 kod deposunu içeriyor.
- Şirketin Atlassian Confluence hakkındaki dahili wiki’si.
- Cloudflare’in küresel ağına veya müşteri verilerine erişimi olmayacak şekilde bölümlere ayrılmış Cloudflare Apps pazarını güçlendirmek için kullanılan bir AWS ortamı.
Tehdit aktörü, 14 Kasım’da keşif çalışmalarına başladı ve Cloudflare’in sistemlerine erişim sağladı. 23 Kasım’da Cloudflare, sistemlerinde tehdit aktörünün varlığı konusunda uyarıldı ve şirket, o gün içinde birden fazla kötü amaçlı hesabı tespit edip devre dışı bıraktı.
Cloudflare, “Tüm tehdit aktörlerinin erişimi ve bağlantıları 24 Kasım’da sonlandırıldı ve CrowdStrike, tehdit faaliyetine ilişkin son kanıtın 24 Kasım’da olduğunu doğruladı” dedi.
Tehdit kontrol altına alınıp Cloudflare ortamından kaldırıldıktan sonra şirket, önemli teknik personel kaynaklarını izinsiz girişi araştırmak ve sistemlerini güçlendirmek için yeniden yönlendirdiğini söyledi.
Cloudflare, “Saldırganın erişiminin sınırlı olduğuna inansak ve daha sonra bunu doğrulasak da, 5.000’den fazla bireysel kimlik bilgisini kapsayan her üretim kimlik bilgisini döndürmek için kapsamlı bir çaba gösterdik” dedi.
Şirket ayrıca test ve aşamalandırma sistemlerini fiziksel olarak bölümlere ayırdığını, 4.893 sistemde adli triyaj gerçekleştirdiğini ve küresel ağındaki her makineyi yeniden görüntüleyip yeniden başlattığını söyledi.
Cloudflare, “Bizim soruşturmamız ve CrowdStrike’ın soruşturması arasında, tehdit aktörünün eylemlerini tam olarak anladığımızdan ve bunların faaliyetlerini gördüğümüz sistemlerle sınırlı olduğundan eminiz” dedi.