网络安全公司 Cloudflare 周四透露,一名威胁行为者使用被盗的凭据来访问其部分内部系统。
该事件于 11 月 23 日被发现,即威胁行为者(据信是由国家支持)使用的凭据被泄露九天后 在 2023 年 10 月 Okta 黑客攻击中 访问 Cloudflare 的内部 wiki 和错误数据库。
Okta 事件发生后,被盗的登录信息、一个访问令牌和三个服务帐户凭证并未轮换,从而使攻击者能够从 11 月 14 日开始对 Cloudflare 系统进行探测和侦察, 保安公司解释说。
据 Cloudflare 称,攻击者设法访问 AWS 环境以及 Atlassian Jira 和 Confluence,但网络分段阻止他们访问其 Okta 实例和 Cloudflare 仪表板。
通过访问 Atlassian 套件,威胁行为者开始在 Cloudflare 网络上查找信息,在 wiki 中搜索“远程访问、秘密、客户端秘密、openconnect、cloudflared 和令牌等内容”。 总共访问了 36 个 Jira 票证和 202 个 wiki 页面。
11 月 16 日,攻击者创建了一个 Atlassian 帐户以获得对环境的持久访问权限,并于 11 月 20 日返回以验证他们是否仍然具有访问权限。
11 月 22 日,威胁行为者安装了 Sliver Adversary Emulation Framework,获得对 Atlassian 服务器的持久访问权限,然后使用该服务器进行横向移动。 他们尝试访问巴西圣保罗数据中心尚未运行的非生产控制台服务器。
攻击者查看了 120 个代码存储库,并将其中 76 个下载到 Atlassian 服务器,但并未泄露它们。
“这 76 个源代码存储库几乎都与备份的工作方式、全球网络的配置和管理方式、Cloudflare 中的身份工作方式、远程访问以及我们对 Terraform 和 Kubernetes 的使用有关。 少数存储库包含加密的秘密,即使它们本身经过严格加密,也会立即轮换。”Cloudflare 指出。
攻击者使用 Smartsheet 服务帐户访问 Cloudflare 的 Atlassian 套件,该帐户于 11 月 23 日被终止,即在发现未经授权的访问后 35 分钟内。 攻击者创建的用户帐户在 48 分钟后被发现并被停用。
Cloudflare 表示,它还制定了防火墙规则来阻止攻击者的已知 IP 地址,并且 Sliver Adversary Emulation Framework 已于 11 月 24 日被删除。
该公司表示:“在这段时间内,威胁行为者试图访问 Cloudflare 的无数其他系统,但由于我们的访问控制、防火墙规则以及使用我们自己的零信任工具强制使用的硬安全密钥而失败。”
Cloudflare 表示,没有发现任何证据表明威胁行为者访问了其全球网络、客户数据库、配置信息、数据中心、SSL 密钥、客户部署的工作人员或除“Atlassian 套件和服务器中的数据”之外的任何其他信息。我们的 Atlassian 就在其上运行”。
11 月 24 日,Cloudflare 还要求众多技术员工提高安全性并验证威胁行为者无法再访问公司的系统。
该公司指出:“此外,我们继续调查每个系统、帐户和日志,以确保威胁行为者没有持续访问权限,并且我们完全了解他们接触了哪些系统以及他们试图访问哪些系统。”
据 Cloudflare 称,事件发生后,超过 5,000 个单独的生产凭证被轮换,对近 5,000 个系统进行了分类,对测试和登台系统进行了物理分段,并且对 Cloudflare 全球网络中的每台计算机进行了重新映像和重新启动。
圣保罗数据中心的设备虽然没有被访问,但已被送回制造商进行检查和更换,尽管没有发现损坏的证据。
Cloudflare 表示,此次攻击的目的是获取有关公司基础设施的信息,从而可能获得更深的立足点。 CrowdStrike 对该事件进行了单独调查,但没有发现其他泄露的证据。
“我们相信,通过我们的调查和 CrowdStrike 的调查,我们完全了解威胁行为者的行为,并且他们仅限于我们看到其活动的系统,”Cloudflare 指出。
有关的: GitHub 轮换凭证以应对漏洞
1707097973
#Cloudflare #被疑似国家资助的威胁行为者黑客攻击
2024-02-02 15:24:13
