受Okta牽連Cloudflare完成入侵調(diào)查，客戶數(shù)據(jù)與系統(tǒng)均未受影響

Cloudflare聘請安全公司CrowdStrike，針對自托管Atlassian服務(wù)器在2023年11月23日遭到攻擊者入侵事件進行調(diào)查，完整調(diào)查報告已經(jīng)出爐。報告指出這次的攻擊行動是由經(jīng)驗豐富，而且國家所資助的攻擊者所為，但因為在Cloudflare零信任架構(gòu)的保護下，官方表示，客戶數(shù)據(jù)與系統(tǒng)都沒有因為該攻擊事件受影響。

Cloudflare被攻擊事件，要追溯至Okta在2023年10月被入侵，攻擊者從Okta系統(tǒng)獲得一組Cloudflare憑證訪問權(quán)限。這些泄露的憑證本應(yīng)該全部輪換，但是Cloudflare漏了1個服務(wù)令牌和3個服務(wù)賬戶的憑證。

其包含一個Moveworks服務(wù)令牌，具有遠程訪問Cloudflare Atlassian系統(tǒng)的權(quán)限，一個基于SaaS的Smartsheet應(yīng)用程序所使用的服務(wù)賬戶憑證，能夠用于訪問Atlassian Jira執(zhí)行實例，第二個賬戶是Bitbucket服務(wù)賬戶，用于訪問程序代碼管理系統(tǒng)，最后一個則是AWS服務(wù)賬戶，但為無法訪問全球網(wǎng)絡(luò)、客戶和敏感數(shù)據(jù)的環(huán)境。

這些服務(wù)令牌和憑證就是攻擊者進入Cloudflare系統(tǒng)，并且試圖創(chuàng)建持久部署的關(guān)鍵，Cloudflare強調(diào)，這并非Atlassian、AWS、Moveworks或Smartsheet的錯誤，而是Cloudflare沒有輪換憑證的問題。

攻擊者先是在11月14日到17日進行偵察，訪問Cloudflare內(nèi)部的wiki以及錯誤數(shù)據(jù)庫，11月20日與11月21日測試訪問以確認仍可連接。真正的攻擊行動從11月22日開始，攻擊者使用ScriptRunner for Jira創(chuàng)建對Atlassian服務(wù)器的持久訪問，并且獲得程序代碼管理系統(tǒng)Atlassian Bitbucket訪問權(quán)限，并嘗試訪問Cloudflare巴西數(shù)據(jù)中心控制臺服務(wù)器，但是并未成功。

所有攻擊訪問和連接都在11月24日終止，雖然攻擊者在這個攻擊行動中所造成的影響有限，但Cloudflare嚴肅看待該事件，畢竟攻擊者使用了偷來的憑證，訪問Atlassian服務(wù)器上的部分文件和程序代碼。在Cloudflare、業(yè)界與政府合作調(diào)查下，確認這次攻擊來自國家資助攻擊者，其目的是要獲得Cloudflare全球網(wǎng)絡(luò)持久且廣泛的訪問能力。

經(jīng)過CrowdStrike的調(diào)查，并沒有發(fā)現(xiàn)更多的攻擊者活動，但Cloudflare仍全面輪換所有產(chǎn)品憑證，并且進行徹底的檢查。Cloudflare還將巴西數(shù)據(jù)中心設(shè)備，交由供應(yīng)商鑒識團隊檢查，確認攻擊者沒有成功入侵的痕跡，不過即便如此，Cloudflare慎重起見仍更換了硬件。