Компания Cloudflare сообщила сегодня, что ее внутренний сервер Atlassian был взломан подозреваемым «злоумышленником против государства», который получил доступ к вики Confluence, базе данных ошибок Jira и системе управления исходным кодом Bitbucket.

Злоумышленник впервые получил доступ к собственному серверу Atlassian компании Cloudflare 14 ноября, а затем, проведя разведку, получил доступ к системам Confluence и Jira компании.

Затем они вернулись 22 ноября и установили постоянный доступ к нашему серверу Atlassian с помощью ScriptRunner для Jira, получили доступ к нашей системе управления исходным кодом (которая использует Atlassian Bitbucket) и безрезультатно пытались получить доступ к консольному серверу, который имел доступ к дата-центру, который Cloudflare еще не ввела в эксплуатацию в Сан-Паулу, Бразилия.

— сообщили генеральный директор Cloudflare Мэтью Принс, технический директор Джон Грэхем-Камминг и директор по информационной безопасности Грант Бурзикас

Для доступа к ее системам злоумышленники использовали один токен доступа и три учетных записи, похищенные во время предыдущей компрометации, связанной с утечкой Okta (которая является важной частью систем кибербезопасности крупных корпораций) в октябре 2023 года, которую Cloudflare не смогла восстановить, передает Bleeping Computer.

Okta потеряла более $2 млрд капитализации из-за дыры в кибербезопасности

Cloudflare обнаружила злонамеренную активность 23 ноября, утром 24 ноября прервала доступ хакера, а через три дня, 26 ноября, ее специалисты по кибербезопасности начали расследование.

Во время изучения деталей инцидента сотрудники Cloudflare провели ротацию всех производственных учетных данных (более 5 000 уникальных), физическую сегментацию тестовых и постановочных систем, выполнили криминалистическую сортировку 4 893 систем, создали новый образ и перезагрузили все системы в глобальной сети компании, включая все серверы Atlassian (Jira, Confluence и Bitbucket) и машины, к которым получал доступ злоумышленник.

Работы по устранению последствий закончились почти месяц назад, 5 января, но компания заявляет, что ее сотрудники все еще работают над укреплением программного обеспечения, а также над управлением учетными данными и уязвимостями.

On Thanksgiving Day, November 23, 2023, Cloudflare detected a threat actor on our self-hosted Atlassian server. Our security team immediately began investigating, cut off the threat actor’s access, and no Cloudflare customer data or systems were impacted. https://t.co/sL5glOqDIZ

— Cloudflare (@Cloudflare) February 1, 2024

Компания заявляет, что это нарушение не повлияло на данные или системы клиентов Cloudflare, ее сервисы, глобальные сетевые системы или конфигурация также не пострадали.

Основываясь на нашем сотрудничестве с коллегами из индустрии и правительства, мы считаем, что эта атака была осуществлена злоумышленником против национального государства (nation state attacker) с целью получения постоянного и широкого доступа к глобальной сети Cloudflare.

Анализируя страницы, к которым они получили доступ, проблемы с базой данных ошибок и репозиториями исходного кода, кажется, что они искали информацию об архитектуре, безопасности и управлении нашей глобальной сетью, без сомнения, с целью завоевания более глубокого плацдарма.

Cloudflare, Google и Amazon о крупнейших в истории DDoS-атаках — что стало причиной?