Cloudflare, 23 Kasım 2023’te kendi kendine barındırılan Atlassian sunucusunda bir tehdit aktörü keşfetti. Saldırı, çalınan bir erişim jetonu ve Ekim 2023 Okta uzlaşmasının ardından değiştirilmesi ihmal edilen üç güvenliği ihlal edilmiş hizmet hesabı kimlik bilgilerinin kullanılmasıyla başlatıldı.
Güvenlik ekibi olayı analiz etmek için CrowdStrike’ın Adli Tıp ekibinden yardım aldı. 24 Kasım’da tehdit aktörlerinin tüm bağlantıları ve erişimleri kesildi.
Cloudflare’in bloguna göre “Müşterilerimize hiçbir Cloudflare müşteri verilerinin veya sisteminin bu olaydan etkilenmediğini vurgulamak istiyoruz.”
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
“Bir tehdit aktörünün Atlassian sunucumuza erişmek için çalıntı kimlik bilgilerini kullanması ve bazı belgelere ve sınırlı miktarda kaynak koduna erişmesi nedeniyle bu olayı çok ciddiye aldık.”
Olaya Genel Bakış
Tehdit aktörleri 14 Kasım’dan 17 Kasım’a kadar bir anket gerçekleştirdiler ve ardından dahili wiki’lerine (Atlassian Confluence tarafından desteklenmektedir) ve hata veritabanlarına (Atlassian Jira tarafından desteklenmektedir) erişim elde ettiler.
20 ve 21 Kasım’da, bağlantıya sahip olduklarından emin olmak için test erişimine geri dönmüş olabileceklerini belirten daha fazla erişim tespit ettiler.
22 Kasım’da tekrar ziyarette bulundular ve Atlassian sunucusuna kalıcı erişim sağlamak için Jira için ScriptRunner’ı kullandılar.
Ayrıca Atlassian Bitbucket’i kullanan kaynak kodu yönetim sistemine de erişim sağladılar ve Cloudflare’in hâlâ test etmekte olduğu Brezilya’nın São Paulo kentindeki veri merkezine bağlı bir konsol sunucusuna erişme girişiminde başarısız oldular.
Şirket, “Okta uzlaşması sırasında sızdırılan binlerce hizmet hesabından bir hizmet tokenını ve üç hizmet hesabını döndürmeyi başaramadık” dedi.
Moveworks hizmet tokenı ile Atlassian sistemine uzaktan erişime izin veriliyor. İkinci kimlik bilgisi, Atlassian Jira örneğine yönetim erişimi olan, SaaS tabanlı Smartsheet uygulaması tarafından kullanılan bir hizmet hesabıydı.
Üçüncü kimlik bilgisi, kaynak kodu yönetim sistemimize erişmek için kullanılan bir Bitbucket hizmet hesabıydı; dördüncüsü, küresel ağa erişimi olmayan ve müşteri verileri veya hassas verileri olmayan bir AWS ortamıydı.
Cyber Security News’e verilen bilgilere göre saldırı büyük olasılıkla Cloudflare’in küresel ağına sürekli ve geniş erişim arayan bir ulus devlet saldırganı tarafından gerçekleştirildi.
Ziyaret ettikleri wiki sayfalarını, hata veritabanı sorunlarını ve kaynak kodu depolarını inceledikten sonra, muhtemelen daha güçlü bir dayanak oluşturmak için şirketin dünya çapındaki ağının mimarisi, güvenliği ve yönetimi ile ilgili ayrıntıları aradıkları anlaşılıyor.
Özellikle 130’dan fazla BT erişim yönetimi müşterisi Ekim ayında meydana gelen Okta güvenlik ihlalinden etkilendi. Etkilenenler arasında, 2022’de başka bir Okta saldırısı nedeniyle etkilenen Cloudflare de vardı.
Şirket, tek bir projeye, yani “Kırmızı Kod” olarak bilinen olayı çözmeye yönelik çabalara odaklanmak için teknik personelinin büyük bir yüzdesini güvenlik ekibinin içine ve dışına taşıdı.
“Her üretim kimlik bilgisini (5.000’den fazla bireysel kimlik bilgisi), fiziksel olarak segmentlere ayırma testi ve hazırlama sistemlerini döndürmek için kapsamlı bir çaba gösterdik, 4.893 sistemde adli triyaj gerçekleştirdik, tehdit aktörünün eriştiği tüm sistemler de dahil olmak üzere küresel ağımızdaki her makineyi yeniden görüntüleyip yeniden başlattık. ve tüm Atlassian ürünleri (Jira, Confluence ve Bitbucket)” dedi şirket.
Tehdit aktörünün ortama giremediğini doğrulamak ve ortamdaki tüm kontrollerin güçlendirildiğinden, doğrulandığından ve düzeltildiğinden emin olmak ana hedeflerdi.