2023 Okta ihlalinin sonuçları, Cloudflare’in güvenlik açığının ayrıntılarını açıklamasıyla birlikte ortaya çıkmaya devam ediyor.
Dünyaca ünlü bir bulut hizmetleri sağlayıcısı olan Cloudflare, 23 Kasım 2023 Şükran Günü’nde dahili Atlassian sunucusuna yetkisiz erişime izin veren bir güvenlik olayı yaşadı. Şirket, 24 saat içinde etkili bir şekilde engellenen saldırıdan hiçbir müşteri verisinin veya sisteminin etkilenmediğini doğruladı.
Soruşturma geçtiğimiz günlerde tamamlandı. Şirketin 2 Şubat 2024’te yayınlanan blog yazısına göre Cloudflare, ihlali 24 Kasım 2023’te tespit etti ve 27 Kasım’da CrowdStrike iş birliğiyle Project Code Red adı verilen soruşturma başlatıldı.
Cloudflare’in sistemlerine saldırganlar tarafından bir erişim belirteci kullanılarak erişildi ve Ekim 2023’teki daha önceki bir Okta ihlali sırasında üç hizmet hesabı kimlik bilgisi çalındı. Tehdit aktörü, çalınan kimlik bilgilerini kullanarak Atlassian ortamına erişim sağladı ve bildirildiğine göre Cloudflare’in küresel ağının mimarisi, güvenliği, Ve yönetim. Confluence ve Jira gibi dahili işbirliği araçlarının yönetiminden Cloudflare’nin Atlassian sisteminin sorumlu olduğunu belirtmekte fayda var.
“Tehdit aktörü, güvenlik açığı yönetimi, gizli rotasyon, MFA bypass’ı, ağ erişimi ve hatta Okta olayına verdiğimiz yanıtla ilgili Jira kayıtlarına erişti. Wiki aramaları ve erişilen sayfalar, tehdit aktörünün sistemlerimize erişimin tüm yönleriyle çok ilgilendiğini gösteriyor: parola sıfırlama, uzaktan erişim, yapılandırma, Salt kullanımımız, ancak müşteri verilerini veya müşteri yapılandırmalarını hedeflemediler.”
Bulut parlaması
Cloudflare, sunucularının ihlalinden bir ‘ulus devlet saldırganının’ sorumlu olabileceğini keşfetti. Ancak şirket olası fail hakkında daha fazla ayrıntı paylaşmadı. Saldırgan, 14 Kasım 2023’te Confluence wiki’sine, Jira hata veritabanına ve Bitbucket kaynak kodu yönetim sistemine erişti.
Cloudflare CEO’su Matthew Prince, CTO John Graham-Cumming ve CISO Grant Bourzikas, 22 Kasım’da bilgisayar korsanlarının Atlassian sunucusuna, kaynak kodu yönetim sistemine ve konsol sunucusuna kalıcı erişim elde ettiğini belirtti.
Ayrıca Brezilya’nın São Paulo kentinde henüz Cloudflare tarafından üretime geçirilmemiş bir veri merkezine erişim sağlamaya da başarısız oldular. Bir önlem olarak Brezilya veri merkezindeki her ekipman parçası, tesisin güvenli olduğundan emin olmak için üreticilere iade edildi.
Önlemeye gelince, Cloudflare personelinin müdahale önlemleri arasında 5.000 benzersiz üretim kimlik bilgilerinin tamamının döndürülmesi, test ve hazırlama sistemlerinin fiziksel olarak bölümlere ayrılması, yaklaşık 4.983 sistemde adli önceliklendirme yapılması ve küresel ağ sistemlerinin yeniden görüntülenmesi ve yeniden başlatılması yer aldı.
Cloudflare’e göre bu, Bitbucket, Jira ve Confluence dahil tüm Atlassian sunucularını içeriyor. Tüm iyileştirme çalışmaları 5’e kadar tamamlanmış olmasına rağmenbu Ocak ayında Cloudflare hâlâ aktif olarak yazılım güçlendirmeye, kimlik bilgileri ve güvenlik açığı yönetimine odaklanıyor.
Bilginize, kimlik ve erişim yönetimi hizmetleri sağlayıcısı Okta, 23 Ekim 2023’te, ele geçirme saldırıları için kullanılabilecek oturum belirteçleri de dahil olmak üzere dosyalara yetkisiz erişime izin veren bir veri ihlali bildirdi.
Saldırgan, Okta’nın destek vaka yönetimi sistemine erişerek hassas verileri görüntülemek, güncellemek ve çıkarmak için 28 Eylül ile 17 Ekim 2023 tarihleri arasında çalınan bir hesabın güvenliğini ihlal etti.
Okta’nın güvenlik şefi David Bradbury, ihlalden en az 134 müşterinin etkilendiğini ve bazı dosyaların oturum ele geçirme saldırıları için kullanılabilecek oturum belirteçleri içeren HAR dosyaları olduğunu açıkladı.
Pek çok firmanın çalıntı Okta kimlik bilgileri ile hedef alındığı bildiriliyor; Cloudflare de bunlardan biri. Daha önce Okta’nın müşterilerinden biri olan 1Password’un hedef alındığı bildirilmişti. 29 Eylül 2023’te 1Password, bir tehdit aktörünün Okta yönetim portalına erişmek için çalıntı bir oturum jetonunu kullandığı şüpheli etkinlik tespit etti.
ALAKALI HABERLER
- En İyi 10 DDoS Saldırısından Koruma ve Azaltma Şirketi
- Whitehat hacker, Cloudflare için SQL enjeksiyon filtresini atladı
- LAPSUS$ Hackerları Microsoft ve Okta’yı Hackledi, Veri Sızıntısı
- Google, Cloudflare ve AWS Tarihteki En Büyük DDoS Saldırısını Açıkladı
- Cloudflare, 1.1.1.1 DNS Hizmetinin Android ve iOS sürümünü Başlattı