Cloudflare, geçen sonbaharda geniş kapsamlı Okta tedarik zinciri kampanyasının kurbanı oldu ve Şükran Günü’nden itibaren Atlassian Bitbucket, Confluence ve Jira platformlarını etkileyen bir veri ihlali yaşandı.
İnternet güvenliği ve DDoS koruma şirketi, “Sektördeki ve hükümetteki meslektaşlarımızla olan işbirliğimize dayanarak, bu saldırının, Cloudflare’in küresel ağına kalıcı ve yaygın erişim elde etmek amacıyla bir ulus devlet saldırganı tarafından gerçekleştirildiğine inanıyoruz” dedi. A Okta ile ilgili siber olayla ilgili blogdün yayınlandı.
Siber Saldırganlar Yanal Hareket Seçeneklerini Aradı
Cloudflare, CrowdStrike ile çalıştı ve ilk keşif çalışmasının ardından siber saldırganların Atlassian sunucusunda kalıcılık oluşturmadan önce dahili wiki’sine (Confluence) ve hata veritabanına (Jira) eriştiklerini tespit edebildi. Failler oradan, Cloudflare kaynak kodu yönetim sistemine (Bitbucket) ve bir AWS örneğine başarılı bir şekilde atlayarak dönecekleri yerleri araştırdılar.
Analiz, siber saldırganların “küresel ağımızın yapılandırması ve yönetimi hakkında bilgi aradıklarını ve güvenlik açığı yönetimi, gizli rotasyon, MFA bypass’ı, ağ erişimi ve hatta Okta’ya yanıtımızla ilgili çeşitli Jira biletlerine eriştiklerini” gösterdi. olayın kendisi.”
Ancak São Paulo’daki hareketsiz bir veri merkezine erişimi olan bir konsol sunucusu gibi denedikleri diğer sistemlerden büyük ölçüde dışlanmışlardı.
Cloudflare’e göre, bilinmeyen saldırganlar “bazı belgelere ve sınırlı miktarda kaynak koduna eriştiler” ancak ağ bölümlendirmesi ve yanal hareketi sınırlayan sıfır güven kimlik doğrulama yaklaşımının uygulanması sayesinde müşteri verilerine veya sistemlerine erişemediler.
Yine de firma ihtiyatlı davrandı: “Her üretim kimlik bilgisini (5.000’den fazla bireysel kimlik bilgisi), fiziksel olarak segment testi ve aşamalandırma sistemlerini döndürmek için kapsamlı bir çaba gösterdik, 4.893 sistemde adli önceliklendirme gerçekleştirdik, her makineyi yeniden görüntüleyip yeniden başlattık. Tehdit aktörünün eriştiği tüm sistemleri içeren küresel ağımız ve Atlassian’ın tüm ürünleri (Jira, Confluence ve Bitbucket).”
Bir Okta İhlali Kurbanı Daha
Ekim ayında kimlik ve erişim yönetimi hizmetleri sağlayıcısı Okta, müşteri desteği vaka yönetimi sistemi tehlikeye girdiÇerezler ve oturum belirteçleri, kullanıcı adları, e-postalar, şirket adları ve daha fazlası dahil olmak üzere hassas müşteri verilerinin açığa çıkarılması. Başlangıçta şirket şunu söyledi: müşterilerinin %1’inden azı etkilendi (toplam 134), ancak Kasım ayının sonlarında şirket sayıyı şaşırtıcı bir şekilde %100’e çıkardı.
“Onlar [achieved compromise] Cloudflare’e göre, Ekim 2023’teki Okta uzlaşmasından sonra alınan ve rotasyonu gerçekleştiremediğimiz bir erişim jetonu ve üç hizmet hesabı kimlik bilgisini kullanarak.” “Tüm tehdit aktörlerinin erişimi ve bağlantıları 24 Kasım’da sonlandırıldı ve CrowdStrike, Tehdit faaliyetine dair son kanıtın 24 Kasım 10:44’te olduğunu doğruladı.”
