23 Kasım 2023’te Cloudflare, kendi kendine barındırılan Atlassian sunucusunda bir tehdit aktörü tespit etti. Saldırı, çalınan tek bir erişim jetonu ve güvenliği ihlal edilmiş üç hizmet hesabı kimlik bilgisi kullanılarak başlatıldı ve bunlar Ekim 2023’teki Okta güvenliğinin ihlali sonrasında aynı tutuldu.
Güvenlik ekibi, güvenlik ihlalini araştırmak için CrowdStrike’ın Adli Tıp ekibinden yardım istedi. 24 Kasım’da kötü niyetli aktörlerin tüm bağlantıları ve erişim ayrıcalıkları sonlandırıldı.
Cloudflare’in bloguna göre “Müşterilerimize hiçbir Cloudflare müşteri verilerinin veya sisteminin bu olaydan etkilenmediğini vurgulamak istiyoruz.”
“Bir tehdit aktörünün Atlassian sunucumuza erişmek için çalıntı kimlik bilgilerini kullanması ve bazı belgelere ve sınırlı miktarda kaynak koduna erişmesi nedeniyle bu olayı çok ciddiye aldık.”
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Olaya Genel Bakış
Tehdit aktörleri 14 Kasım’dan 17 Kasım’a kadar araştırıldı. Bunun ardından, örgütün Atlassian Confluence tarafından desteklenen dahili wiki’sine ve Atlassian Jira tarafından desteklenen hata veritabanlarına erişim kazandılar.
20 ve 21 Kasım tarihlerinde sisteme izinsiz erişim yapıldığı tespit edildi, bu da davetsiz misafirlerin bağlantıyı test etmek için geri döndüğüne işaret ediyor. 22 Kasım’da ikinci bir ziyaret yaptılar ve Atlassian sunucusuna kalıcı erişim sağlamak için Jira için ScriptRunner’ı kullandılar.
Davetsiz misafirler Atlassian Bitbucket kaynak kodu yönetim sistemine girmeyi başardılar. Ayrıca Cloudflare’in Brezilya’nın São Paulo kentindeki veri merkezine bağlı bir konsol sunucusunu da ihlal etmeye çalıştılar. Ancak henüz test aşamasında olduğu için sunucuya sızmayı başaramadılar.
Şirket, “Okta uzlaşması sırasında sızdırılan binlerce hizmet hesabından bir hizmet tokenını ve üç hizmet hesabını döndürmeyi başaramadık” dedi.
Atlassian sistemine uzaktan erişmek için Moveworks hizmet jetonu kullanılabilir. Ek olarak, Atlassian Jira örneğine yönetim erişimi olan bir hizmet hesabı, SaaS tabanlı Smartsheet uygulaması tarafından ikinci bir kimlik bilgisi olarak kullanılır.
Üçüncü kimlik bilgisi, kaynak kodu yönetim sistemimize erişmek için kullanılan bir Bitbucket hizmet hesabıydı. Dördüncüsü, küresel ağa erişimi olmayan ve müşteri verileri veya hassas verileri olmayan bir AWS ortamıydı.
Raporlara göre saldırı muhtemelen Cloudflare’in küresel ağına sürekli ve geniş erişim arayan bir ulus devlet saldırganı tarafından gerçekleştirildi.
Eriştikleri wiki sayfalarını, hata veri tabanı sorunlarını ve kaynak kod depolarını analiz ettikten sonra, muhtemelen daha güçlü bir dayanak elde etmek için şirketin küresel ağ mimarisi, güvenliği ve yönetimi hakkında bilgi aradıkları anlaşılıyor.
Ekim ayında Cloudflare’in de aralarında bulunduğu Okta güvenlik ihlalinden 130’dan fazla BT erişim yönetimi iş müşterisi etkilendi ve 2022’de başka bir Okta saldırısı nedeniyle tekrar etkilendi.
Şirket, güvenlik ekibinin hem içindeki hem de dışındaki teknik personelinin önemli bir bölümünü, “Kırmızı Kod” olarak bilinen olayı ele alan tek bir projeye odakladı.
Çabaları kapsamında kapsamlı bir süreç başlattılar. Bu, 5.000’den fazla bireysel kimlik bilgisinin döndürülmesini, test ve hazırlama sistemlerinin fiziksel olarak bölümlendirilmesini, 4.893 sistemde adli önceliklendirmenin gerçekleştirilmesini ve tüm Atlassian ürünleri (Jira, Confluence ve Bitbucket) ve tüm Atlassian ürünleri (Jira, Confluence ve Bitbucket) dahil olmak üzere küresel ağlarındaki her makinenin yeniden görüntülenmesini ve yeniden başlatılmasını içeriyordu. Tehdit aktörü erişti.
Bu çalışmanın temel amacı, tehdit aktörünün ortama giremediğini doğrulamak ve tüm kontrollerin güçlendirilmesini, doğrulanmasını ve düzeltilmesini sağlamaktı.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.