Η Cloudflare αποκάλυψε ότι ο εσωτερικός διακομιστής της Atlassian παραβιάστηκε από κάποιον που απέκτησε πρόσβαση στο Confluence wiki, στο Jira bug database και στο Bitbucket source code management system της. Όλα ξεκίνησαν από μια παραβίαση της Okta.
Οι επιτιθέμενοι απέκτησαν αρχικά πρόσβαση στο self-hosted Atlassian server της Cloudflare στις 14 Νοεμβρίου. Έπειτα, μπόρεσαν να εισχωρήσουν στα συστήματα Confluence και Jira της εταιρείας.
Όπως είπε ο Διευθύνων Σύμβουλος της Cloudflare, Matthew Prince, οι επιτιθέμενοι επέστρεψαν στις 22 Νοεμβρίου και απέκτησαν μόνιμη πρόσβαση στον Atlassian server της εταιρείας χρησιμοποιώντας το ScriptRunner για Jira. Επίσης, απέκτησαν πρόσβαση στο σύστημα διαχείρισης πηγαίου κώδικα (το οποίο χρησιμοποιεί Atlassian Bitbucket) και προσπάθησαν να αποκτήσουν πρόσβαση σε έναν console server που είχε πρόσβαση σε ένα νέο κέντρο δεδομένων. Το τελευταίο δεν το κατάφεραν.
Δείτε επίσης: Johnson Controls: Η ransomware επίθεση κόστισε $ 27 εκατ.
Η παραβίαση έγινε ως εξής: οι επιτιθέμενοι χρησιμοποίησαν ένα access token και τρία service account credentials, που είχαν κλαπεί κατά τη διάρκεια προηγούμενης παραβίασης που συνδέθηκε με την παραβίαση της Okta από τον Οκτώβριο του 2023. Εκείνη η παραβίαση της Okta είχε επηρεάσει πολλούς πελάτες της.
Η Cloudflare εντόπισε την κακόβουλη δραστηριότητα στις 23 Νοεμβρίου και ενήργησε αμέσως ώστε να διακόψει την πρόσβαση του hacker στα συστήματά της. Μερικές ημέρες μετά, ξεκίνησε έρευνα για το περιστατικό.
Το προσωπικό της Cloudflare έκανε rotate όλα τα production credentials (πάνω από 5.000 μοναδικά), προσχώρησε σε τμηματοποίηση test και staging συστημάτων, πραγματοποίησε ελέγχους σε 4.893 συστήματα, διόρθωσε και επανεκκίνησε όλα τα συστήματα στο παγκόσμιο δίκτυο της εταιρείας, συμπεριλαμβανομένων όλων των διακομιστών Atlassian (Jira, Confluence και Bitbucket) και μηχανημάτων στα οποία είχε πρόσβαση ο εισβολέας.
Οι προσπάθειες αποκατάστασης ολοκληρώθηκαν στις 5 Ιανουαρίου, αλλά η εταιρεία λέει ότι εξακολουθεί να εργάζεται για την εφαρμογή περισσότερων μέτρων ασφαλείας και τη διαχείριση credentials και ευπαθειών.
Δείτε επίσης: Akira ransomware: Κυβερνοεπίθεση στο σύστημα έκτακτης ανάγκης της Κομητείας Bucks
Ευτυχώς, η παραβίαση δεν επηρέασε τα δεδομένα ή τα συστήματα πελατών της Cloudflare.
“Αν και κατανοούμε ότι ο λειτουργικός αντίκτυπος του συμβάντος είναι εξαιρετικά περιορισμένος, λάβαμε αυτό το περιστατικό πολύ σοβαρά, επειδή ένας παράγοντας απειλής είχε χρησιμοποιήσει κλεμμένα διαπιστευτήρια για να αποκτήσει πρόσβαση στον Atlassian server μας και είχε πρόσβαση σε περιορισμένη ποσότητα του source code“, είπαν στελέχη της εταιρείας.
Επίσης, τα στελέχη είπαν ότι πιστεύουν ότι πίσω από την επίθεση βρίσκεται κάποια hacking ομάδα που υποστηρίζεται από κυβέρνηση κράτους και στόχευε στην απόκτηση ευρείας πρόσβασης στο παγκόσμιο δίκτυο της Cloudflare.
Η έρευνα της εταιρεία έδειξε ότι οι hackers αναζητούσαν πληροφορίες σχετικά με την αρχιτεκτονική, την ασφάλεια και τη διαχείριση του παγκόσμιου δικτύου της Cloudflare.
Όλα ξεκίνησαν από μια παραβίαση της Okta. Στις 18 Οκτωβρίου 2023, το Okta instance της Cloudflare παραβιάστηκε μέσω ενός authentication token που κλάπηκε από το σύστημα υποστήριξης της Okta. Οι hackers που παραβίασαν το σύστημα υποστήριξης πελατών της Okta απέκτησαν επίσης πρόσβαση σε αρχεία που ανήκαν σε 134 πελάτες, συμπεριλαμβανομένης της Cloudflare.
Οι επιχειρήσεις μπορούν εφαρμόσουν διάφορα μέτρα για να ενισχύσουν την ασφάλειά τους. Μπορούν να υιοθετήσουν την πολυπαραγοντική επαλήθευση (MFA). Αυτό απαιτεί από τους χρήστες να παρέχουν δύο ή περισσότερα διαφορετικά στοιχεία επαλήθευσης για να αποδείξουν την ταυτότητά τους και να αποκτήσουν πρόσβαση σε σημαντικά συστήματα και υπηρεσίες.
Δείτε επίσης: Σουηδία: Η ανάκαμψη από την κυβερνοεπίθεση μπορεί να χρειαστεί εβδομάδες
Μια άλλη στρατηγική είναι η χρήση λύσεων ανίχνευσης και απόκρισης σε επιθέσεις δικτύου (NDR). Αυτές οι λύσεις παρακολουθούν την κίνηση του δικτύου για να ανιχνεύσουν ανώμαλη ή ύποπτη δραστηριότητα.
Επιπλέον, απαραίτητη είναι η αρχή της ελάχιστης πρόσβασης (PAM), κατά την οποία οι χρήστες έχουν μόνο τα δικαιώματα που χρειάζονται για να εκτελέσουν τα καθήκοντά τους. Δεν μπορεί ο καθένας να έχει πρόσβαση οπουδήποτε.
Τέλος, η εκπαίδευση των χρηστών για τις τακτικές που χρησιμοποιούν οι hackers, όπως το phishing, μπορεί να βοηθήσει στην πρόληψη της κλοπής των διαπιστευτηρίων.
Πηγή: www.bleepingcomputer.com
