攻击者利用Okta被盗令牌黑入Cloudflare

Cloudflare 披露称其内部 Atlassian 服务器遭某可疑“国家攻击者”攻陷，Confluence wiki、Jira 漏洞数据库和 Bitbucket 源代码管理系统遭访问。

威胁行动者首先在11月14日获得对 Cloudflare 自托管 Atlassian 服务器的访问权限，接着通过侦察阶段后访问了该公司的 Confluence 和 Jira 系统。

Cloudflare 公司的首席执行官 Matthew Prince、首席技术官 John Graham-Cumming 和首席安全官 Grant Bourzikas 指出，“他们之后在11月22日返回，通过 ScriptRunner for Jira 建立了对 Atlassian 服务器的持久访问权限，获得对源代码管理系统的访问权限，并且尝试访问可访问 Clouflare 尚未在巴西圣保罗投入生产的数据中心的控制台服务器但未果。”

为了访问系统，攻击者使用了2023年10月 Okta 攻击事件中被盗但 Clouflare 未变更的一个访问令牌和3个服务账户凭据。Cloudflare 公司在11月23日检测到这一恶意活动，在11月24日早晨阻止了黑客的访问权限，其网络安全取证专家在三天后也就是11月26日开始启动调查。

Cloudflare 公司员工在解决问题期间变更了所有生产凭据（超过5000个唯一凭据）、物理分割测试和架构系统、在4893个系统上执行取证分类、重新构建和重启了该公司全局网络上的所有系统，包括所有 Atlassian 服务器（Jira、Confluence 和 Bitbucket）和可由攻击者访问的机器。

威胁行动者还尝试黑入Cloudflare 位于圣保罗尚未使用的数据中心，但以失败告终。随后数据中心的所有设备都返回给制造商以确保数据中心是百分之百安全的。

虽然修复投入几乎在一个月前就结束，但Cloudflare 公司表示员工仍在着手进行软件加固以及凭据和漏洞管理工作。该公司表示事件并不影响客户数据或系统；服务、全局网络系统或配置也不受影响，“尽管我们了解事件对运营的影响极其有限，但我们对此非常重视，因为威胁者使用被盗凭据获得对 Atlassian 服务器的访问权限并访问了某些文档和数量有限的源代码。基于与行业同事和政府的协作，我们认为该攻击是由国家黑客实施的，目的是获得对 Cloudflare 全局网络的可持久和广泛的访问权限。分析他们所访问的 wiki 页面、漏洞数据库问题和源代码仓库可知，他们似乎在寻找关于全局网络架构、安全性和管理的信息；毫无疑问目的是找到更深的立足点。”

2023年10月18日，攻击者使用盗自 Okta 支持系统的认证令牌攻陷了 Cloudflare 的 Okta 实例。攻陷 Okta 客户支持系统的黑客还获得对134家客户文件的访问权限，包括 1Password、BeyondTrust 和 Cloudflare 等。

2023年10月事件发生后，Cloudflare 公司表示安全事件响应团队的快速响应遏制和最小化了对 Cloudflare 系统和数据的影响，且Cloudflare 客户信息或系统并未受影响。

2022年8月，攻击者试图使用在钓鱼攻击中盗取的员工凭据但失败，因为他们无法访问由受害者回公司发布的 FIDO2-合规安全密钥。