Cloudflare聘請安全公司CrowdStrike,針對自托管Atlassian服務器在2023年11月23日遭到攻擊者入侵事件進行調查�����,完整調查報告已經出爐�。
Cloudflare聘請安全公司CrowdStrike,針對自托管Atlassian服務器在2023年11月23日遭到攻擊者入侵事件進行調查�,完整調查報告已經出爐。報告指出這次的攻擊行動是由經驗豐富����,而且國家所資助的攻擊者所為,但因為在Cloudflare零信任架構的保護下��,官方表示��,客戶數(shù)據(jù)與系統(tǒng)都沒有因為該攻擊事件受影響��。
Cloudflare被攻擊事件���,要追溯至Okta在2023年10月被入侵����,攻擊者從Okta系統(tǒng)獲得一組Cloudflare憑證訪問權限���。這些泄露的憑證本應該全部輪換�,但是Cloudflare漏了1個服務令牌和3個服務賬戶的憑證。
其包含一個Moveworks服務令牌��,具有遠程訪問Cloudflare Atlassian系統(tǒng)的權限����,一個基于SaaS的Smartsheet應用程序所使用的服務賬戶憑證,能夠用于訪問Atlassian Jira執(zhí)行實例�,第二個賬戶是Bitbucket服務賬戶,用于訪問程序代碼管理系統(tǒng)�,最后一個則是AWS服務賬戶,但為無法訪問全球網絡��、客戶和敏感數(shù)據(jù)的環(huán)境�。
這些服務令牌和憑證就是攻擊者進入Cloudflare系統(tǒng),并且試圖創(chuàng)建持久部署的關鍵���,Cloudflare強調��,這并非Atlassian�����、AWS�����、Moveworks或Smartsheet的錯誤��,而是Cloudflare沒有輪換憑證的問題����。
攻擊者先是在11月14日到17日進行偵察��,訪問Cloudflare內部的wiki以及錯誤數(shù)據(jù)庫��,11月20日與11月21日測試訪問以確認仍可連接���。真正的攻擊行動從11月22日開始�����,攻擊者使用ScriptRunner for Jira創(chuàng)建對Atlassian服務器的持久訪問���,并且獲得程序代碼管理系統(tǒng)Atlassian Bitbucket訪問權限,并嘗試訪問Cloudflare巴西數(shù)據(jù)中心控制臺服務器���,但是并未成功��。
所有攻擊訪問和連接都在11月24日終止��,雖然攻擊者在這個攻擊行動中所造成的影響有限�,但Cloudflare嚴肅看待該事件,畢竟攻擊者使用了偷來的憑證�����,訪問Atlassian服務器上的部分文件和程序代碼����。在Cloudflare、業(yè)界與政府合作調查下�,確認這次攻擊來自國家資助攻擊者,其目的是要獲得Cloudflare全球網絡持久且廣泛的訪問能力����。
經過CrowdStrike的調查,并沒有發(fā)現(xiàn)更多的攻擊者活動�,但Cloudflare仍全面輪換所有產品憑證,并且進行徹底的檢查��。Cloudflare還將巴西數(shù)據(jù)中心設備�,交由供應商鑒識團隊檢查,確認攻擊者沒有成功入侵的痕跡���,不過即便如此���,Cloudflare慎重起見仍更換了硬件����。
閩公網安備 35010202001226號
