Прошлой осенью Cloudflare стала жертвой широкомасштабной кампании по цепочке поставок Okta, когда утечка данных затронула платформы Atlassian Bitbucket, Confluence и Jira, начиная с Дня благодарения.
«Основываясь на нашем сотрудничестве с коллегами из отрасли и правительства, мы полагаем, что эта атака была осуществлена злоумышленником из национального государства с целью получения постоянного и широкого доступа к глобальной сети Cloudflare», — заявила компания по интернет-безопасности и защите от DDoS-атак. а блог о киберинциденте, связанном с Okta, опубликованное вчера.
Киберзлоумышленники искали варианты бокового движения
Cloudflare работала с CrowdStrike и смогла определить, что после первоначальной разведывательной работы киберзлоумышленники получили доступ к ее внутренней вики (Confluence) и базе данных ошибок (Jira), прежде чем установить постоянство на ее сервере Atlassian. Оттуда злоумышленники искали места, куда можно было бы перейти, успешно проникнув в систему управления исходным кодом Cloudflare (Bitbucket) и экземпляр AWS.
Анализ показал, что киберзлоумышленники «искали информацию о конфигурации и управлении нашей глобальной сетью и получили доступ к различным билетам Jira… касающимся управления уязвимостями, секретной ротации, обхода MFA, доступа к сети и даже нашей реакции на сам инцидент с Okta». ».
Но они были в основном отключены от других систем, которые они пробовали, например, к консольному серверу, имевшему доступ к бездействующему дата-центру в Сан-Паулу.
В целом, по данным Cloudflare, неизвестные нападавшие «получили доступ к некоторой документации и ограниченному количеству исходного кода», но не к данным или системам клиентов, благодаря сегментации сети и реализации подхода аутентификации с нулевым доверием, который ограничивал горизонтальное перемещение.
Тем не менее, фирма проявила осторожность: «Мы предприняли комплексные усилия по ротации всех производственных учетных данных (более 5,000 индивидуальных учетных данных), физически сегментировали тестовые и промежуточные системы, провели судебно-медицинскую сортировку на 4,893 системах, повторно создали образы и перезагрузили каждую машину в нашу глобальную сеть, включая все системы, к которым получил доступ злоумышленник, и все продукты Atlassian (Jira, Confluence и Bitbucket)».
«Эта… атака на одну из крупнейших компаний [программного обеспечения как услуги]… серьезно подчеркивает риски атак на цепочку поставок», — говорит Таль Скверер, руководитель исследовательской группы Astrix Security. «В этом взломе мы снова видим, как злоумышленники злоупотребляют нечеловеческим доступом для получения высокопривилегированного доступа к внутренним системам, который остается без контроля. Мы также видим, как злоумышленники нацелены как на облачные решения, SaaS, так и на локальные решения, чтобы расширить свой доступ».
Еще одна жертва Okta Breach
В октябре компания Okta, поставщик услуг управления идентификацией и доступом, сообщила, что ее система управления обращениями в службу поддержки клиентов была скомпрометирована, раскрывая конфиденциальные данные клиентов, включая файлы cookie и токены сеансов, имена пользователей, электронные письма, названия компаний и многое другое. Изначально компания заявила, что менее 1% своих клиентов пострадали (всего 134), но в конце ноября компания увеличил это число до ошеломляющих 100%..
«Они [добились компрометации], используя один токен доступа и три учетных данных сервисной учетной записи, которые были взяты и которые нам не удалось заменить после компрометации Okta в октябре 2023 года», — сообщает Cloudflare. «Все доступы и соединения злоумышленников были прекращены 24 ноября, и CrowdStrike подтвердила, что последние доказательства активности угроз были 24 ноября в 10:44».
Представитель Okta сообщил Dark Reading: «Это не новый инцидент или разоблачение со стороны Okta. 19 октября мы уведомили клиентов, поделились инструкциями по смене учетных данных и предоставили индикаторы компрометации (IoC), связанные с октябрьским инцидентом безопасности. Мы не можем комментировать меры по обеспечению безопасности наших клиентов».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/cloudflare-falls-victim-okta-breach-atlassian-systems-cracked
- :имеет
- :является
- :нет
- 000
- 10
- 19
- 2023
- 24
- 4
- 5
- a
- в состоянии
- О нас
- злоупотреблять
- доступ
- управление доступом
- Доступ
- По
- Учетная запись
- Достигать
- достигнутый
- деятельность
- пострадавших
- После
- снова
- Все
- причислены
- количество
- an
- анализ
- и
- Другой
- подхода
- МЫ
- около
- At
- Atlassian
- атаковать
- нападающий
- Нападавшие
- нападки
- Аутентификация
- AWS
- основанный
- было
- до
- начало
- верить
- изоферменты печени
- нарушение
- Ошибка
- но
- by
- байпас
- Кампания
- CAN
- случаев
- осторожность
- Центр
- цепь
- облако
- CloudFlare
- код
- сотрудничество
- коллеги
- комментарий
- Компания
- комплексный
- скомпрометированы
- Конфигурация
- ПОДТВЕРЖДЕНО
- слияние
- Коммутация
- Консоли
- печенье
- треснувший
- ПОЛНОМОЧИЯ
- Полномочия
- клиент
- данные клиентов
- Клиенты
- кибер-
- темно
- Темное чтение
- данным
- Данные нарушения
- Центр обработки данных
- База данных
- день
- DDoS
- Определять
- раскрытие
- документации
- усилие
- Писем
- налаживание
- Эфир (ETH)
- Даже
- Каждая
- , поскольку большинство сенаторов
- Расширьте
- Oшибка
- Осень
- Водопад
- Фирма
- Что касается
- судебный
- от
- Глобальный
- Глобальная сеть
- цель
- идет
- Правительство
- руководство
- было
- High
- основной момент
- Как
- HTTPS
- Личность
- управление идентификацией и доступом
- воздействуя
- реализация
- in
- инцидент
- В том числе
- индикаторы
- individual
- промышленность
- информация
- начальный
- первоначально
- пример
- в нашей внутренней среде,
- Интернет
- Internet Security
- в
- ЕГО
- саму трезвость
- в значительной степени
- крупнейших
- Фамилия
- Поздно
- вести
- такое как
- Ограниченный
- смотрел
- искать
- машина
- управление
- система управления
- МИД
- БОЛЕЕ
- движение
- имена
- сеть
- Доступ к сети
- Новые
- нет
- Ноябрь
- номер
- получение
- окт
- октябрь
- of
- ОКТА
- on
- ONE
- Опции
- or
- Другое
- наши
- внешний
- часть
- выполнены
- настойчивость
- Физически
- Стержень
- Мест
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- привилегия
- Производство
- защиту
- при условии
- Недвижимости
- опубликованный
- Reading
- Связанный
- исследованиям
- ответ
- рисках,
- s
- SaaS
- Сказал
- говорит
- Secret
- безопасность
- посмотреть
- сегмент
- сегментация
- чувствительный
- сервер
- обслуживание
- Услуги
- Сессия
- общие
- показал
- закрывать
- сторона
- Решения
- некоторые
- Источник
- исходный код
- докладчик
- Спонсоров
- ошеломляющий
- инсценировка
- Успешно
- поставка
- цепочками поставок
- поддержка
- система
- системы
- T
- приняты
- направлены
- команда
- говорит
- тестXNUMX
- чем
- благодаря
- благодарение
- который
- Ассоциация
- их
- Там.
- они
- этой
- угроза
- три
- билеты
- в
- знак
- Лексемы
- пыталась
- Осуществил
- неизвестный
- через
- различный
- Жертва
- уязвимость
- законопроект
- we
- были
- который
- широко распространена
- Работа
- работавший
- вчера
- еще
- зефирнет