1. 공격 개요
2023년 11월 14일부터 24일까지.Cloudflare11월 23일에 보안 침해가 감지되어 이상 징후가 모니터링되었습니다. 이 침입은 "Cloudflare의 글로벌 네트워크에 대한 지속적이고 광범위한 액세스"를 제공하기 위한 것이었으며, 공격자들은 "정교하고 전문적이며" "세심하고 질서정연한" 방식으로 활동하는 것으로 묘사되었습니다. 정교하고 질서정연한" 방식으로 운영한다고 설명했습니다.
2. 공격자의 행동에 대한 세부 정보
공격자는 4일 동안 Atlassian Confluence 및 Jira 포털을 정찰한 후 악성 Atlassian 사용자 계정을 만들고 Sliver 에뮬레이션 프레임워크를 통해 지속적인 서버 액세스를 설정했으며, 결국 Bitbucket 소스 코드 관리 시스템을 통해 액세스 권한을 얻었습니다.
3. Cloudflare의 비상 대응
Cloudflare는 5,000개 이상의 프로덕션 자격 증명 가동, 테스트 및 세분화된 시스템을 물리적으로 격리, 4,893개 시스템 포렌식 분석, 글로벌 네트워크의 모든 컴퓨터 재이미징 및 재부팅 등의 예방 조치를 취했습니다.
4. 공격의 범위
공격자들은 최대 120개의 코드 저장소를 본 것으로 추정되며, 이 중 76개는 도난당한 것으로 추정됩니다.Cloudflare는 이러한 소스 코드 저장소의 거의 대부분이 백업 작업, 글로벌 네트워크의 구성 및 관리, Cloudflare의 인증 메커니즘, 원격 액세스, Terraform 및 Kubernetes 사용과 관련이 있다고 밝혔습니다.
5. 대응책 및 보안 개선 사항
Cloudflare는 해당 자격 증명이 사용되지 않는다고 잘못 믿고 해당 자격 증명을 회전시키는 과정에서 감독을 소홀히 했음을 인정했습니다. 또한 2023년 11월 24일에 위협 행위자로부터 모든 악의적인 연결을 차단했다고 밝혔으며사이버 보안회사크라우드 스트라이크독립적인 평가를 수행합니다.
6. 공격자의 목적 및 행동 분석
Cloudflare의 분석에 따르면, 공격자가 탈취한 자격 증명을 사용하여 액세스할 수 있었던 유일한 프로덕션 시스템은 Atlassian 환경이었습니다. 공격자가 액세스한 위키 페이지, 오류 데이터베이스 문제, 소스 코드 리포지토리를 분석한 결과, 공격자는 Cloudflare의 글로벌 네트워크의 아키텍처, 보안 및 관리에 대한 정보를 찾고 있었던 것으로 보입니다.
7. 조사 및 폐기 조치
공격자들은 또한 브라질 상파울루에 있는 아직 운영되지 않는 Cloudflare의 데이터 센터 중 하나에 액세스할 수 있는 콘솔 서버에 액세스하려고 시도했습니다. 이 공격은 2023년 10월 Okta 지원 사례 관리 시스템이 해킹된 후 도난당한 액세스 토큰과 AWS, Atlassian Bitbucket, Moveworks 및 Smartsheet와 관련된 3개의 서비스 계정 자격 증명을 사용하여 가능했습니다.
Cloudflare는 위협 행위자가 회사 시스템에 다시 액세스할 수 없도록 보안을 개선하기 위해 몇 가지 기술적 조치를 취했으며, 지속적인 액세스의 레거시가 없는지 확인하기 위해 계속 조사하고 있습니다.
이 경우 상파울루 데이터 센터의 장비에 액세스하지는 않았지만, 시스템 보안을 위해 제조업체에 장비를 반납하고 점검을 위해 장비를 교체했습니다.
Cloudflare와 CrowdStrike의 심층 조사 결과, 위협 행위자의 활동은 관찰된 시스템으로 제한되었으며, 글로벌 네트워크, 고객 데이터베이스, 구성 정보, 데이터센터, SSL 키, 고객의 Worker 배포 또는 Atlassian 제품군 및 서버 외부의 기타 정보에 액세스한 증거가 없는 것으로 나타났습니다.
최고 보안 책임자의 원본 기사, 복제할 경우 출처 표시: https://www.cncso.com/kr/cloudflare-hacker-group-attacks-threats.html
