Cloudflare 在感恩节当天遭到入侵，但攻击被迅速遏制

该事件发生在2023年11月23日感恩节当天，Cloudflare立即在CrowdStrike的帮助下开始了调查。该公司指出，此次安全漏洞未影响任何客户数据或系统。

Cloudflare今天披露，其内部的Atlassian服务器被一名疑似“国家支持的攻击者”入侵，该攻击者访问了其Confluence wiki、Jira缺陷数据库和Bitbucket源代码管理系统。这名国家行为者首次于11月14日获得公司Atlassian服务器的访问权限，随后访问了Confluence和Jira系统。

“从11月14日到17日，一个威胁行为者进行了侦察，然后访问了我们的内部wiki（使用Atlassian Confluence）和我们的缺陷数据库（Atlassian Jira）。11月20日和21日，我们看到了额外的访问记录，表明他们可能已经回来测试访问以确保他们有连接性。”公司发布的博客文章中写道。“然后他们在11月22日返回，并使用ScriptRunner for Jira建立了对我们Atlassian服务器的持久访问权限，获得了我们的源代码管理系统（使用Atlassian Bitbucket）的访问权限，并尝试（但未成功）访问一个控制台服务器，该服务器可以访问Cloudflare尚未在巴西圣保罗投入生产的数据中心。”

威胁行为者还试图访问公司在圣保罗新数据中心的控制台服务器，但所有尝试均失败。

调查显示，攻击者使用了一个在2023年10月Okta妥协事件中获得的访问令牌和三个服务账户凭证。Cloudflare承认未能更换这些认证元素。公司在11月24日锁定了威胁行为者，CrowdStrike确认威胁已被完全根除。

为了防止攻击者使用获得的技术信息，Cloudflare更换了每一个生产凭证（超过5000个个别凭证），物理隔离了测试和预发布系统，对4893个系统进行了取证分类，重新映像并重启了其全球网络中的每一台机器，包括所有被入侵者访问的系统。“这是一起涉及复杂行为者的安全事件，很可能是一个国家支持的行为者，他们以深思熟虑和有条不紊的方式行动。我们采取的措施确保了事件的持续影响受到限制，并且我们已做好准备以抵御未来任何复杂的攻击。”报告最后总结道。

原文始发于微信公众号（黑猫安全）：Cloudflare 在感恩节当天遭到入侵，但攻击被迅速遏制