该事件发生在2023年11月23日感恩节当天,Cloudflare立即在CrowdStrike的帮助下开始了调查。该公司指出,此次安全漏洞未影响任何客户数据或系统。
Cloudflare今天披露,其内部的Atlassian服务器被一名疑似“国家支持的攻击者”入侵,该攻击者访问了其Confluence wiki、Jira缺陷数据库和Bitbucket源代码管理系统。这名国家行为者首次于11月14日获得公司Atlassian服务器的访问权限,随后访问了Confluence和Jira系统。
“从11月14日到17日,一个威胁行为者进行了侦察,然后访问了我们的内部wiki(使用Atlassian Confluence)和我们的缺陷数据库(Atlassian Jira)。11月20日和21日,我们看到了额外的访问记录,表明他们可能已经回来测试访问以确保他们有连接性。”公司发布的博客文章中写道。“然后他们在11月22日返回,并使用ScriptRunner for Jira建立了对我们Atlassian服务器的持久访问权限,获得了我们的源代码管理系统(使用Atlassian Bitbucket)的访问权限,并尝试(但未成功)访问一个控制台服务器,该服务器可以访问Cloudflare尚未在巴西圣保罗投入生产的数据中心。”
威胁行为者还试图访问公司在圣保罗新数据中心的控制台服务器,但所有尝试均失败。
调查显示,攻击者使用了一个在2023年10月Okta妥协事件中获得的访问令牌和三个服务账户凭证。Cloudflare承认未能更换这些认证元素。公司在11月24日锁定了威胁行为者,CrowdStrike确认威胁已被完全根除。
为了防止攻击者使用获得的技术信息,Cloudflare更换了每一个生产凭证(超过5000个个别凭证),物理隔离了测试和预发布系统,对4893个系统进行了取证分类,重新映像并重启了其全球网络中的每一台机器,包括所有被入侵者访问的系统。“这是一起涉及复杂行为者的安全事件,很可能是一个国家支持的行为者,他们以深思熟虑和有条不紊的方式行动。我们采取的措施确保了事件的持续影响受到限制,并且我们已做好准备以抵御未来任何复杂的攻击。”报告最后总结道。
原文始发于微信公众号(黑猫安全):Cloudflare 在感恩节当天遭到入侵,但攻击被迅速遏制
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论