Cloudflare, het gerenommeerde bedrijf in webinfrastructuur, is het doelwit geweest van een cyberaanval die vermoedelijk is georkestreerd door een groep hackers. Het incident, dat werd ontdekt te hebben plaatsgevonden tussen 14 en 24 november 2023, stelde de aanvallers in staat om ongeautoriseerde toegang te krijgen tot hun Atlassian-server, waardoor ze toegang kregen tot bepaalde documentatie en een beperkte hoeveelheid broncode.
Cloudflare detecteerde de inbreuk op 23 november, waarbij de dreigingsactor werd beschreven als “geavanceerd” en die “doordacht en methodisch” opereerde met het doel om aanhoudende en wijdverspreide toegang te verkrijgen tot het wereldwijde netwerk van het bedrijf.
Genomen Voorzorgsmaatregelen
Als een voorzorgsmaatregel kondigde Cloudflare aan dat het meer dan 5.000 productiegegevens heeft gewijzigd, test- en proefsysteem fysiek gesegmenteerd, forensische triages uitgevoerd op 4.893 systemen, en iedere machine in hun wereldwijde netwerk opnieuw gestart en geherinitialiseerd.
De aanval omvatte een verkenningsperiode van vier dagen om toegang te krijgen tot de Atlassian Confluence en Jira portalen. Vervolgens creëerde de tegenstander een nep Atlassian gebruikersaccount en vestigde aanhoudende toegang tot hun Atlassian-server om uiteindelijk toegang te krijgen tot hun Bitbucket source code management systeem via het Sliver adversary simulation framework.
Omvang van Onbevoegde Toegang
Er wordt geschat dat de aanvaller tot 120 code repositories heeft bekeken, waarvan men gelooft dat er 76 zijn geëxfiltreerd. Deze repositories bevatten voornamelijk informatie gerelateerd aan back-upprocedures, configuratie en beheer van het wereldwijde netwerk, identiteit bij Cloudflare, externe toegang en het gebruik van Terraform en KubernetesKubernetes (vaak aangeduid in het Engels als “K8sâ€) ….
Cloudflare stelde dat “een klein aantal van de repositories gecodeerde geheimen bevatte, die onmiddellijk werden geroteerd ondanks dat ze sterk versleuteld waren”.
De dreigingsactor probeerde ook zonder succes toegang te krijgen tot een console server die toegang had tot het datacentrumEen datacentrum of dataprocessing centrum (CPD) … dat Cloudflare nog niet in productie had genomen in São Paulo, Brazilië.
Uitgebuite Kwetsbaarheid en Reactie van Cloudflare
De aanval werd vergemakkelijkt door het gebruik van een toegangstoken en drie servicerekeninggegevens geassocieerd met Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks en Smartsheet, die werden gestolen na de hack van Okta’s ondersteuningscase managementsysteem in oktober van 2023. Cloudflare gaf toe deze gegevens niet gewijzigd te hebben, ten onrechte aannemend dat ze niet gebruikt werden.
Het bedrijf nam ook maatregelen om alle kwaadaardige verbindingen die door de dreigingsactor werden gestart op 24 november 2023 te beëindigen en huurde de cybersecurityfirma CrowdStrike in om een onafhankelijke evaluatie van het incident uit te voeren.
Cloudflare bevestigt dat het enige productiesysteem waartoe de dreigingsactor toegang kon krijgen met de gestolen gegevens hun Atlassian-omgeving was. Gebaseerd op de analyse van de toegankelijke wiki-pagina’s, foutendatabase kwesties en broncode repositories, lijkt het dat ze op zoek waren naar informatie over de architectuur, beveiliging en het beheer van hun wereldwijde netwerk.
bron: The Hacker news