- Регистрация
- 17 Окт 2015
- Сообщения
- 11.619
- Репутация
- 4.232
- Реакции
- 15.383
Гиганта защиты от DDoS-атак взломали: чем это могло обернуться для всемирной сети
2 февраля, 2024Детальный разбор ноябрьского нарушения безопасности Cloudflare.
Компания Cloudflare - это американская технологическая компания, которая предоставляет услуги защиты, ускорения и оптимизации веб-сайтов и приложений. Компания была основана в 2009 году и сейчас является одним из ведущих поставщиков облачных услуг безопасности и контента.
Cloudflare предлагает широкий спектр продуктов и решений, включая межсетевые экраны firewall, защиту от DDoS-атак, CDN Content Delivery Networк DNS-сервисы и другие инструменты для улучшения производительности и безопасности веб-сайтов. Компания также предлагает аналитические инструменты и сервисы для мониторинга и анализа трафика в режиме реального времени.
Cloudflare раскрыла детали инцидента, в ходе которого предположительно шпионы, действуя от имени государства, получили доступ к внутренней системе Atlassian, используя украденные данные в результате нарушения безопасности в Okta в октябре.
По информации Cloudflare, нарушение в системе Atlassian было обнаружено 23 ноября 2023 года, а уже на следующий день нарушители были вытеснены из системы. По словам представителей компании, атака была осуществлена с целью получения постоянного доступа к глобальной сети Cloudflare.
В ходе нарушения безопасности Okta в октябре, затронувшего более 130 клиентов компании, злоумышленники украли данные с целью дальнейшего взлома организаций. Cloudflare также пострадала от атаки. Cloudflare использует Okta — это американская технологическая компания, специализирующаяся на обеспечении идентификации, аутентификации и управлении доступом для приложений и сервисов в облаке. Основана в 2009 году Тоддом МакЛенном и Фредом Шефелбайном. Одним из основных продуктов Okta является идентификационная платформа, которая позволяет организациям обеспечивать безопасный доступ к своим приложениям и данным.
Компания предоставляет решения для управления идентификацией и доступом как для внутренних систем и сотрудников, так и для внешних пользователей, клиентов и партнеров. Продукты Okta также включают в себя инструменты для многофакторной аутентификации, одноразовых паролей и других технологии для обеспечения безопасности в цифровом пространстве.
Okta в качестве поставщика удостоверений, интегрированного с Cloudflare Access, что позволяет гарантировать пользователям безопасный доступ к внутренним ресурсам.
По словам руководства Cloudflare, шпионы искали информацию об удаленном доступе, секретах и токенах, а также проявили интерес к 36 тикетам Jira из более чем 2 млн., касающимся управления уязвимостями, оборота секретов, обхода многофакторной аутентификации, доступа к сети и даже реакции бизнеса на инцидент с Okta.
По словам Cloudflare, хакеры получили один сервисный токен и три набора учетных данных сервисных аккаунтов через компрометацию Okta в 2023 году. Изначально Okta утверждала, что украденная информация была относительно безобидной и могла использоваться для фишинга или социальной инженерии. Однако оказалось, что среди украденных данных были токены сессии, позволяющие получить доступ к сетям компаний вроде Cloudflare.
Злоумышленники использовали украденные данные для доступа к системам Cloudflare, включая внутренний вики на базе Confluence и базу данных ошибок Jira, в период с 14 по 17 ноября 2023 года. Дальнейшие доступы были обнаружены 20 и 21 ноября, после чего киберпреступники установили постоянное присутствие на сервере Atlassian через ScriptRunner для Jira.
Интерес шпионов к секретам и токенам подтверждается также просмотром 120 репозиториев кода в Bitbucket из почти 12 000. Репозитории в основном были связаны с принципами работы резервного копирования, конфигурацией и управлением глобальной сети, идентификацией, удаленным доступом, а также Terraform и Kubernetes. По словам компании CDN, некоторые из них содержали зашифрованные секреты, и они были немедленно заменены, хотя и были надежно зашифрованы.
Атака была отражена 24 ноября 2023 года, после чего компания начала оценку ущерба и расследование инцидента. При усилении мер безопасности была задействована фирма CrowdStrike - компания, занимающаяся кибербезопасностью. Она специализируется на защите от киберугроз, в том числе вредоносного программного обеспечения, хакерских атак и других угроз в интернете. Компания предлагает широкий спектр услуг, включая онлайн-защиту, аналитику инцидентов, исследование угроз и обеспечение соответствия требованиям законодательства.
Crowdstrike для независимой оценки.
Cloudflare серьезно относится к инциденту, несмотря на ограниченное операционное влияние, и прилагает усилия к управлению учетными данными, усилению безопасности ПО и улучшению системы оповещения. Работа по проекту «Код Красный», направленному на устранение последствий нарушения, завершилась 5 января 2024 года, но усилия по повышению безопасности в компании продолжаются.