1. ein Überblick über den Angriff
Zwischen dem 14. und 24. November 2023.CloudflareAm 23. November wurde ein Sicherheitsverstoß entdeckt und eine Anomalie beobachtet. Das Unternehmen beschrieb die Angreifer als "raffiniert und professionell", die "akribisch und geordnet" vorgingen. sorgfältig und geordnet" vorgingen.
2. die Einzelheiten der Aktionen des Angreifers
Nach einer viertägigen Erkundung der Atlassian-Portale Confluence und Jira erstellten die Angreifer ein bösartiges Atlassian-Benutzerkonto und verschafften sich über das Sliver-Emulations-Framework dauerhaften Server-Zugang, um schließlich über das Bitbucket-Quellcode-Verwaltungssystem Zugriff zu erhalten.
3. die Notfallreaktion in Cloudflare
Cloudflare ergriff Präventivmaßnahmen, darunter das Hochfahren von mehr als 5.000 Produktionsanmeldedaten, die physische Isolierung von getesteten und segmentierten Systemen, die forensische Analyse von 4.893 Systemen, das Re-Imaging und der Neustart aller Rechner im globalen Netzwerk.
4. der Umfang des Angriffs
Es wird geschätzt, dass die Angreifer bis zu 120 Quellcode-Repositories eingesehen haben, von denen 76 vermutlich gestohlen wurden. Cloudflare sagte, dass fast alle dieser Quellcode-Repositories mit Backup-Operationen, der Konfiguration und dem Management des globalen Netzwerks, den Authentifizierungsmechanismen von Cloudflare, dem Fernzugriff und der Verwendung von Terraform und Kubernetes zu tun hatten.
5) Gegenmaßnahmen und Verbesserung der Sicherheit
Cloudflare räumte ein Versehen beim Spinnen der besagten Anmeldedaten ein, da es fälschlicherweise davon ausging, dass diese nicht verwendet werden. Das Unternehmen erklärte außerdem, dass es am 24. November 2023 alle böswilligen Verbindungen von Bedrohungsakteuren getrennt habe und forderte dieNetzwerksicherheitFirmenCrowdStrikeFühren Sie eine unabhängige Bewertung durch.
6. die Analyse der Ziele und des Verhaltens des Angreifers
Laut der Analyse von Cloudflare war das einzige Produktionssystem, auf das der Angreifer mit den gestohlenen Anmeldedaten zugreifen konnte, die Atlassian-Umgebung. Die Analyse der Wiki-Seiten, der Fehlerdatenbank und der Quellcode-Repositories, auf die die Angreifer zugriffen, zeigt, dass die Angreifer nach Informationen über die Architektur, die Sicherheit und die Verwaltung des globalen Netzwerks von Cloudflare suchten.
7 Ermittlungs- und Beseitigungsmaßnahmen
Die Angreifer versuchten auch, sich Zugang zu einem Konsolenserver zu verschaffen, der Zugang zu einem der noch nicht in Betrieb befindlichen Rechenzentren von Cloudflare in São Paulo, Brasilien, hat. Der Angriff wurde durch die Verwendung eines Zugangstokens und dreier Service-Kontodaten ermöglicht, die mit AWS, Atlassian Bitbucket, Moveworks und Smartsheet verbunden sind und im Oktober 2023 nach dem Hack des Support Case Management-Systems Okta gestohlen wurden.
Cloudflare hat mehrere technische Maßnahmen zur Verbesserung der Sicherheit ergriffen, um sicherzustellen, dass Bedrohungsakteure nicht erneut auf die Systeme des Unternehmens zugreifen können, und führt weiterhin Untersuchungen durch, um sicherzustellen, dass es keine Hinterlassenschaft eines dauerhaften Zugangs gibt.
Obwohl auf die Geräte im Rechenzentrum in Sao Paulo nicht zugegriffen wurde, schickte das Unternehmen sie zur Überprüfung an den Hersteller zurück und ersetzte sie, um die Systemsicherheit zu gewährleisten.
Die detaillierten Ergebnisse von Cloudflare und CrowdStrike zeigten, dass sich die Aktivitäten des Bedrohungsakteurs auf die beobachteten Systeme beschränkten und dass das Unternehmen keine Beweise für den Zugriff auf das globale Netzwerk, Kundendatenbanken, Konfigurationsinformationen, Rechenzentren, SSL-Schlüssel, Kundeneinsätze von Workers oder andere Informationen außerhalb der Atlassian-Suite und -Server hatte.
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/cloudflare-hacker-group-attacks-threats.html
