Cloudflare Sızıntısı: Ulus-Devlet Hackerları Kaynak Kodlarına ve İç Belgelere Erişim Sağladı.

02.02.2024

Cloudflare, 14-24 Kasım 2023 tarihleri arasında muhtemelen bir ulus devlet tarafından planlanan hedefli bir siber saldırıya maruz kaldığını açıkladı. Saldırgan, çalınan kimlik bilgilerini kullanarak Cloudflare'ın Atlassian sunucusuna yetkisiz erişim elde etti ve belirli belgeler ile sınırlı miktarda kaynak kodlarına zarar verdi. Sofistike tehdit aktörünün amacı, Cloudflare'ın küresel ağına kalıcı ve yaygın erişim sağlamaktı, bu da düşünceli ve metodik bir yaklaşımı göstermekte.

Önlem olarak, Cloudflare, 5.000'den fazla üretim kimliğini değiştirmeyi, test ve sahneleme sistemlerini fiziksel olarak izole etmeyi, 4.893 sistem üzerinde adli analizler yapmayı ve küresel ağındaki tüm makineleri yeniden görüntülemeyi/yeniden başlatmayı içeren önemli adımlar attı.

Saldırı, Atlassian Confluence ve Jira portallarına erişim için keşif içeren dört gün boyunca gerçekleşti. Ardından saldırgan, sürekli erişim sağlamak amacıyla sahte bir Atlassian kullanıcı hesabı oluşturdu. Saldırgan daha sonra Cloudflare'ın Bitbucket kaynak kodu yönetim sistemine erişmek için Sliver düşman simülasyon çerçevesini kullandı.

Saldırı sırasında 120 kod deposuna erişildi ve tahmini olarak 76 depo sızdırıldı. Bu depolar genellikle yedekleme prosedürleri, küresel ağ yapılandırma ve yönetimi, Cloudflare'daki kimlik protokolleri, uzaktan erişim yöntemleri ve şirketin Terraform ve Kubernetes kullanımı hakkında bilgiler içeriyordu. Bazı depolarda güçlü şifrelemelerine rağmen hızla değiştirilen şifrelenmiş sırlar da bulunuyordu.

Tehdit aktörü, başarısız bir şekilde São Paulo, Brezilya'daki Cloudflare veri merkezi ile bağlantılı bir konsol sunucusuna erişmeye çalıştı. Saldırı, Okta'nın destek durumu yönetim sisteminin Ekim 2023 saldırısında çalınan bir erişim belirteci ve üç hizmet hesabı kimliği üzerinden gerçekleşti. Cloudflare, bu kimlik bilgilerini değiştirmekte başarısız olduğunu kabul etti ve yanlışlıkla bunların etkisiz olduğunu varsaydı.

24 Kasım 2023 tarihinde, Cloudflare, tehdit aktörü tarafından başlatılan tüm kötü niyetli bağlantıları sonlandırdı ve olayın bağımsız bir değerlendirmesi için siber güvenlik firması CrowdStrike ile iletişime geçti. Kompromize uğramış sistemler, saldırganın wiki sayfalarına, hata veritabanı konularına ve kaynak kodu depolarına erişim sağlamak için odaklandığı Atlassian ortamıyla sınırlıydı.