State Actor利用Okta漏洞后Cloudflare遭到黑客攻击

CloudFlare服务器在感恩节当天遭到黑客攻击,使用的是Okta漏洞中被盗的身份验证令牌。2023年Okta漏洞的后果仍在继续,Cloudflare披露了其安全漏洞的详细信息。

全球知名云服务提供商Cloudflare在2023年11月23日感恩节发生安全事件,导致其内部Atlassian服务器遭受未经授权的访问。该公司确认没有客户数据或系统受到此次入侵的影响,并在24小时内被有效封锁。

调查已于近日结束。根据该公司2024年2月2日发布的博客文章,Cloudflare于2023年11月24日检测到该漏洞,并于11月27日与CrowdStrike合作启动调查,称为“Project Code Red”。

攻击者使用访问令牌访问Cloudflare的系统,并且在2023年10月的一次Okta泄露中,三个服务帐户凭据被盗。据报道,威胁行为者使用窃取的凭据访问其Atlassian环境,寻求有关Cloudflare全球网络架构、安全和管理的信息。值得注意的是,Cloudflare的Atlassian系统负责管理Confluence和Jira等内部协作工具。

“威胁行为者访问了有关漏洞管理、秘密轮换、MFA 绕过、网络访问,甚至我们对Okta事件本身的响应的Jira票证。维基搜索和访问的页面表明,威胁行为者对访问我们系统的各个方面都非常感兴趣:密码重置、远程访问、配置、Salt的使用,但他们并不针对客户数据或客户配置。”----Cloudflare

Cloudflare发现“民族国家攻击者”可能对其服务器的破坏负责。不过,该公司没有透露有关可能的肇事者的更多细节。攻击者于2023年11月14日访问了其Confluence wiki、Jira bug数据库和Bitbucket源代码管理系统。

Cloudflare首席执行官Matthew Prince、CTO John Graham-Cumming和CISO Grant Bourzikas表示,11月22日,黑客获得了对其Atlassian服务器、源代码管理系统和控制台服务器的持久访问权限。

他们还尝试访问巴西圣保罗的数据中心,但未成功,该数据中心尚未由Cloudflare投入生产。作为预防措施,巴西数据中心的每台设备均已返还给制造商,以确保该设施的安全。

至于预防,Cloudflare员工的应对措施包括轮换所有5000个独特的生产凭证、对测试和分级系统进行物理分段、对大约4983个系统进行取证分类,以及重新映像和重新启动全球网络系统。

根据Cloudflare的说法,这包括所有Atlassian服务器,包括Bitbucket、Jira和Confluence。尽管所有修复工作已于1月5日完成,但Cloudflare仍在积极关注软件强化以及凭证和漏洞管理。

供您参考,身份和访问管理服务提供商Okta于2023年10月23日报告了一起数据泄露事件,允许未经授权访问文件,包括会话令牌,这可用于劫持攻击。

攻击者在2023年9月28日至10月17日期间盗取了一个被盗帐户,通过访问Okta的支持案例管理系统来查看、更新和提取敏感数据。

Okta首席安全官David Bradbury透露,至少有134名客户受到此次泄露的影响,部分文件是包含会话令牌的HAR文件,可用于会话劫持攻击。

据报道,许多公司都成为Okta凭证被盗的目标,Cloudflare就是其中之一。此前,据报道Okta的客户之一1Password也成为攻击目标。2023年9月29日,1Password检测到可疑活动,威胁行为者使用窃取的会话令牌访问其Okta管理门户。

发表评论

评论已关闭。

相关文章