1. 攻击概况
2023年11月14日至24日间,Cloudflare发现了一起安全入侵事件,并于11月23日监测到异常。这起入侵活动意在“持续且广泛地访问Cloudflare的全球网络”,公司描述攻击者为“精密专业”,以“缜密有序”的方式行动。
2. 攻击者行动细节
攻击者在对Atlassian Confluence和Jira门户进行了为期四天的侦察后,创建了一个恶意Atlassian用户账户,并通过Sliver模拟框架建立了持久的服务器访问权限,最终通过Bitbucket源代码管理系统获取了访问权限。
3. Cloudflare的应急措施
Cloudflare采取了预防措施,包括旋转超过5000个生产凭证,物理隔离测试和分段系统,对4893个系统进行了取证分析,重新映像并重启了全球网络中的每一台机器。
4. 攻击影响范围
据估计,攻击者查看了最多120个代码仓库,其中76个被认为已被窃取。Cloudflare表示,这些源代码仓库几乎全部与备份操作、全球网络的配置和管理、Cloudflare的身份认证机制、远程访问以及Terraform和Kubernetes的使用有关。
5. 对策与安全加固
Cloudflare承认在旋转上述凭证方面存在疏忽,误以为这些凭证未被使用。公司还表示,已在2023年11月24日切断了所有来自威胁行为者的恶意连接,并邀请了网络安全公司CrowdStrike进行独立评估。
6. 攻击者目标与行为分析
据Cloudflare分析,攻击者使用被盗的凭证能够访问的唯一生产系统是其Atlassian环境。通过分析攻击者访问的Wiki页面、错误数据库问题和源代码仓库,攻击者似乎在寻找有关Cloudflare全球网络的架构、安全和管理信息。
7. 调查与处置措施
攻击者还试图未遂地访问一个控制台服务器,该服务器可以访问Cloudflare在巴西圣保罗的一个尚未投入生产的数据中心。此次攻击得以实施,是因为使用了与AWS、Atlassian Bitbucket、Moveworks和Smartsheet相关联的一个访问令牌和三个服务账户凭证,这些凭证在2023年10月Okta支持案例管理系统被黑后被盗用。
Cloudflare采取了多项技术措施来提高安全性,以确保威胁行为者不能再次访问公司系统,并继续调查以确保没有遗留的持久访问权限。
在此次事件中,虽然Sao Paulo数据中心的设备未被访问,但公司还是将其退回生产商检查,并更换了设备,以确保系统安全。
Cloudflare和CrowdStrike的深入调查结果显示,威胁行为者的活动仅限于已观察到的系统,公司对全球网络、客户数据库、配置信息、数据中心、SSL密钥、客户部署的工作器或Atlassian套件和服务器以外的任何其他信息都没有访问证据。
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/cloudflare-hacker-group-attacks-threats.html
