受Okta牽連Cloudflare完成入侵調(diào)查，客戶數(shù)據(jù)與系統(tǒng)均未受影響

Cloudflare聘請(qǐng)安全公司CrowdStrike，針對(duì)自托管Atlassian服務(wù)器在2023年11月23日遭到攻擊者入侵事件進(jìn)行調(diào)查，完整調(diào)查報(bào)告已經(jīng)出爐。報(bào)告指出這次的攻擊行動(dòng)是由經(jīng)驗(yàn)豐富，而且國(guó)家所資助的攻擊者所為，但因?yàn)樵贑loudflare零信任架構(gòu)的保護(hù)下，官方表示，客戶數(shù)據(jù)與系統(tǒng)都沒有因?yàn)樵摴羰录苡绊憽?/p>

Cloudflare被攻擊事件，要追溯至Okta在2023年10月被入侵，攻擊者從Okta系統(tǒng)獲得一組Cloudflare憑證訪問權(quán)限。這些泄露的憑證本應(yīng)該全部輪換，但是Cloudflare漏了1個(gè)服務(wù)令牌和3個(gè)服務(wù)賬戶的憑證。

其包含一個(gè)Moveworks服務(wù)令牌，具有遠(yuǎn)程訪問Cloudflare Atlassian系統(tǒng)的權(quán)限，一個(gè)基于SaaS的Smartsheet應(yīng)用程序所使用的服務(wù)賬戶憑證，能夠用于訪問Atlassian Jira執(zhí)行實(shí)例，第二個(gè)賬戶是Bitbucket服務(wù)賬戶，用于訪問程序代碼管理系統(tǒng)，最后一個(gè)則是AWS服務(wù)賬戶，但為無(wú)法訪問全球網(wǎng)絡(luò)、客戶和敏感數(shù)據(jù)的環(huán)境。

這些服務(wù)令牌和憑證就是攻擊者進(jìn)入Cloudflare系統(tǒng)，并且試圖創(chuàng)建持久部署的關(guān)鍵，Cloudflare強(qiáng)調(diào)，這并非Atlassian、AWS、Moveworks或Smartsheet的錯(cuò)誤，而是Cloudflare沒有輪換憑證的問題。

攻擊者先是在11月14日到17日進(jìn)行偵察，訪問Cloudflare內(nèi)部的wiki以及錯(cuò)誤數(shù)據(jù)庫(kù)，11月20日與11月21日測(cè)試訪問以確認(rèn)仍可連接。真正的攻擊行動(dòng)從11月22日開始，攻擊者使用ScriptRunner for Jira創(chuàng)建對(duì)Atlassian服務(wù)器的持久訪問，并且獲得程序代碼管理系統(tǒng)Atlassian Bitbucket訪問權(quán)限，并嘗試訪問Cloudflare巴西數(shù)據(jù)中心控制臺(tái)服務(wù)器，但是并未成功。

所有攻擊訪問和連接都在11月24日終止，雖然攻擊者在這個(gè)攻擊行動(dòng)中所造成的影響有限，但Cloudflare嚴(yán)肅看待該事件，畢竟攻擊者使用了偷來(lái)的憑證，訪問Atlassian服務(wù)器上的部分文件和程序代碼。在Cloudflare、業(yè)界與政府合作調(diào)查下，確認(rèn)這次攻擊來(lái)自國(guó)家資助攻擊者，其目的是要獲得Cloudflare全球網(wǎng)絡(luò)持久且廣泛的訪問能力。

經(jīng)過CrowdStrike的調(diào)查，并沒有發(fā)現(xiàn)更多的攻擊者活動(dòng)，但Cloudflare仍全面輪換所有產(chǎn)品憑證，并且進(jìn)行徹底的檢查。Cloudflare還將巴西數(shù)據(jù)中心設(shè)備，交由供應(yīng)商鑒識(shí)團(tuán)隊(duì)檢查，確認(rèn)攻擊者沒有成功入侵的痕跡，不過即便如此，Cloudflare慎重起見仍更換了硬件。