1.攻撃の概要
2023年11月14日から24日の間。クラウドフレア11月23日にセキュリティ侵害が検知され、異常が監視された。この侵入は「Cloudflareのグローバルネットワークへの持続的かつ広範なアクセス」を意図したもので、同社は攻撃者を「洗練されたプロフェッショナル」であり、「綿密かつ整然とした」方法で操作していたと説明している。洗練された整然とした」方法で
2.攻撃者の行動詳細
アトラシアンのConfluenceとJiraのポータルを4日間偵察した後、攻撃者は悪意のあるアトラシアンのユーザーアカウントを作成し、Sliverエミュレーションフレームワークを通じて永続的なサーバーアクセスを確立し、最終的にBitbucketソースコード管理システムを通じてアクセス権を獲得しました。
3.クラウドフレアの緊急対応
Cloudflareは、5,000以上のプロダクション認証情報をスピンアップし、テストされセグメント化されたシステムを物理的に分離し、4,893のシステムをフォレンジック分析し、グローバルネットワーク内のすべてのマシンを再イメージ化し再起動するなどの予防策を講じました。
4.攻撃の範囲
Cloudflareによると、これらのソースコードリポジトリのほぼすべてが、バックアップ操作、グローバルネットワークの設定と管理、Cloudflareの認証メカニズム、リモートアクセス、TerraformとKubernetesの使用に関連していたという。
5.対策とセキュリティ強化
Cloudflareは、当該認証情報が使用されていないと誤認し、スピニングしていたことについて見落としがあったことを認めた。同社はまた、2023年11月24日に脅威行為者からの悪意のある接続をすべて切断したと述べ、次のように呼びかけている。サイバーセキュリティファームズクラウドストライク独立した評価を行う。
6.攻撃者の目的と行動の分析
Cloudflareの分析によると、攻撃者が盗んだ認証情報を使ってアクセスできた唯一の本番システムは、同社のAtlassian環境でした。攻撃者がアクセスしたWikiページ、エラーデータベースの問題、ソースコードリポジトリを分析すると、攻撃者はCloudflareのグローバルネットワークのアーキテクチャ、セキュリティ、管理に関する情報を探していたようです。
7.調査と廃棄措置
攻撃者はまた、ブラジルのサンパウロにあるCloudflareのまだ稼働していないデータセンターの1つにアクセスできるコンソールサーバーへのアクセスを試みた。この攻撃は、AWS、Atlassian Bitbucket、Moveworks、Smartsheetに関連するアクセストークンと3つのサービスアカウント認証情報を使用することで可能となりました。これらの認証情報は、Oktaサポートケース管理システムのハッキングに続いて2023年10月に盗まれました。
Cloudflareは、脅威行為者が会社のシステムに再アクセスできないようにするため、セキュリティを向上させるいくつかの技術的対策を講じるとともに、永続的なアクセスの痕跡がないことを確認するための調査を継続しています。
この事例では、サンパウロ・データセンターの機器はアクセスされていなかったが、同社はメーカーに返却して検査を受けさせ、システムのセキュリティを確保するために機器を交換した。
CloudflareとCrowdStrikeの詳細な調査結果によると、脅威行為者の活動は観測されたシステムに限定されており、グローバルネットワーク、顧客データベース、設定情報、データセンター、SSLキー、Workersの顧客デプロイメント、またはアトラシアンのスイートとサーバー以外のその他の情報にアクセスした形跡はありませんでした。
元記事はChief Security Officerによるもので、転載の際はhttps://www.cncso.com/jp/cloudflare-hacker-group-attacks-threats.html。
