Firma Cloudflare została zaatakowana przez podmiot, który — jak podejrzewa — jest sponsorowany przez rząd Rosji.
Cloudflare to firma zajmująca się bezpieczeństwem. Ujawniła, że cyberprzestępca wykorzystał skradzione poświadczenia, aby uzyskać dostęp do niektórych jej wewnętrznych systemów.
Incydent został odkryty 23 listopada, dziewięć dni po tym, jak podmiot-haker, który podobno sponsoruje rosyjski rząd, wykorzystał poświadczenia skompromitowane podczas ataku na Okta w październiku 2023 r. Wszystko po to, aby uzyskać dostęp do wewnętrznej wiki Cloudflare i bazy danych o błędach.
Skradzione informacje logowania, token dostępu i trzy poświadczenia kont usług nie zostały zmienione po incydencie z Okta. To pozwoliło napastnikom na sondowanie i prowadzenie rozpoznania systemów Cloudflare, rozpoczynając od 14 listopada.
Według Cloudflare napastnikom udało się uzyskać dostęp do środowiska AWS, jak również do Atlassian Jira i Confluence. Segmentacja sieci zapobiegła jednak dostępowi do instancji Okta oraz panelu sterowania Cloudflare.
Cloudflare zaatakowane przez hakerów
Mając dostęp do pakietu Atlassian, podmiot odpowiedzialny za atak zaczął szukać informacji o sieci Cloudflare, przeszukując wiki za takimi rzeczami jak „zdalny dostęp”, „sekret”, „sekret-klienta”, „openconnect”, „cloudflared” i „token”. Łącznie dostęp uzyskano do 36 biletów Jira i 202 stron wiki. To treści dostępne wyłącznie na użytek wewnętrzny dla pracowników firmy.
16 listopada napastnicy utworzyli konto Atlassian, aby uzyskać stały dostęp do środowiska. Z kolei 20 listopada wrócili, aby sprawdzić, czy nadal ten dostęp mają.
Hakerzy próbowali również uzyskać dostęp do serwera konsolowego w centrum danych w São Paulo, w Brazylii, które nie jest jeszcze operacyjne. Przeglądali 120 repozytoriów kodu i pobrali 76 z nich na serwer Atlassian, ale nie dokonali ich eksfiltracji.
76 repozytoriów kodu źródłowego było związane głównie z tym, jak działają kopie zapasowe, jak globalna sieć jest konfigurowana i zarządzana, jak działa tożsamość w Cloudflare, zdalny dostęp, oraz nasze użycie Terraform i Kubernetes. Mała liczba repozytoriów zawierała zaszyfrowane sekrety, które zostały natychmiast zmienione, mimo że były same w sobie mocno zaszyfrowane
zauważa Cloudflare.
Napastnicy wykorzystali konto usługi Smartsheet do uzyskania dostępu do pakietu Atlassian Cloudflare, a konto zostało zamknięte 23 listopada, w ciągu 35 minut po zidentyfikowaniu nieautoryzowanego dostępu. Konto użytkownika utworzone przez napastnika zostało znalezione i dezaktywowane 48 minut później.
Cloudflare mówi również, że wprowadziło zasady firewalla, aby zablokować znane adresy IP napastników, i że Framework Emulacji Adwersarza Sliver został usunięty 24 listopada.
Według Cloudflare, nie znaleziono dowodów na to, że podmiot uzyskał dostęp do:
- Globalnej sieci
- Bazy danych klientów
- Informacji konfiguracyjnych
- Centrów danych
- Kluczy SSL
- Pracowników wdrażanych przez klientów
Hakerzy mieli zyskać tylko dostęp do danych w pakiecie Atlassian i na serwerze, na którym działa wersja Atlassiana dla Cloudflare.
Reakcja Cloudflare po ataku
Jak podaje spółka, po incydencie zmieniono ponad 5000 indywidualnych produkcyjnych poświadczeń, prawie 5000 systemów zostało przebadanych, systemy testowe i sceniczne zostały fizycznie oddzielone, a każda maszyna w globalnej sieci Cloudflare została uruchomiona ponownie.
Sprzęt w centrum danych w São Paulo, mimo że nie został przejęty przez hakerów, został odesłany do producentów do inspekcji i zastąpiony, chociaż nie znaleziono dowodów na kompromitację.
Celem ataku, jak mówi Cloudflare, było uzyskanie informacji o infrastrukturze firmy, prawdopodobnie aby uzyskać głębszy przyczółek. CrowdStrike przeprowadziło oddzielne dochodzenie w sprawie incydentu, ale nie odkryło dowodów na dodatkowe kompromitacje.
Z czego korzystają klienci Cloudflare?
Cloudflare zapewnia szeroki zakres usług związanych z poprawą bezpieczeństwa, wydajności oraz niezawodności stron internetowych i usług internetowych. Główne usługi i funkcje, z których korzystają klienci:
- Content Delivery Network (CDN). Cloudflare oferuje globalną sieć CDN, która pomaga przyspieszyć ładowanie stron internetowych poprzez cachowanie treści na serwerach rozlokowanych na całym świecie i dostarczanie ich z najbliższej lokalizacji do użytkownika końcowego.
- Ochrona przed DDoS. Jedną z usług Cloudflare jest zaawansowana ochrona przed atakami DDoS (Distributed Denial of Service). Cloudflare jest w stanie absorbować i filtrować ruch, który mógłby zaszkodzić infrastrukturze klienta, pomagając tym samym utrzymać dostępność witryny nawet podczas dużych ataków DDoS.
- Web Application Firewall (WAF). Cloudflare oferuje również firewall aplikacji webowej (WAF), który chroni aplikacje internetowe przed różnymi atakami, takimi jak SQL injection, cross-site scripting (XSS) i inne znane luki w bezpieczeństwie, bez konieczności modyfikacji kodu aplikacji.
- SSL/TLS. Automatyczne zarządzanie certyfikatami SSL/TLS zapewnia szyfrowanie ruchu między użytkownikiem a serwerem Cloudflare, co zwiększa bezpieczeństwo i prywatność danych użytkowników.
- DNS. Cloudflare zapewnia szybkie i bezpieczne usługi DNS, które pomagają w szybkim rozwiązywaniu nazw domen oraz oferują dodatkową warstwę ochrony przed atakami.
- Optymalizacja strony internetowej. Cloudflare oferuje narzędzia do automatycznej optymalizacji zasobów strony, takich jak kompresja obrazów i skryptów, co przyczynia się do szybszego ładowania stron i lepszej ogólnej wydajności.
- Zarządzanie ruchem. Zaawansowane funkcje zarządzania ruchem pozwalają na inteligentne kierowanie ruchu, bilansowanie obciążenia oraz szybkie przekierowywanie ruchu w przypadku awarii, co zapewnia lepszą dostępność i wydajność usług.
- Bot Management. Cloudflare oferuje również rozwiązania do zarządzania botami, które pomagają odróżnić ruch pochodzący od ludzi od automatycznego ruchu generowanego przez boty, co ma kluczowe znaczenie dla ochrony przed skrapingiem, spamem i innymi złośliwymi działaniami.
Klienci Cloudflare najczęściej korzystają z kombinacji tych usług, aby zabezpieczyć swoje witryny internetowe i aplikacje, zwiększyć ich wydajność oraz zapewnić lepszą obsługę użytkowników na całym świecie. Wybór konkretnych usług zależy od indywidualnych potrzeb i wymagań danego klienta, w tym od wielkości strony, branży i poziomu oczekiwanego ruchu.
Czytaj też: