Cloudflare a révélé qu’il était la cible d’une attaque probable d’un État-nation dans laquelle l’acteur malveillant a exploité des informations d’identification volées pour obtenir un accès non autorisé à son serveur Atlassian et finalement accéder à une partie de la documentation et à une quantité limitée de code source.
L’intrusion, survenue entre le 14 et le 24 novembre 2023 et détectée le 23 novembre, a été réalisée « dans le but d’obtenir un accès persistant et généralisé au réseau mondial de Cloudflare », a indiqué la société d’infrastructures Web. ditdécrivant l’acteur comme « sophistiqué » et qui « opérait de manière réfléchie et méthodique ».
Par mesure de précaution, la société a en outre déclaré avoir effectué une rotation de plus de 5 000 informations d’identification de production, segmenté physiquement les systèmes de test et de préparation, effectué des tris médico-légaux sur 4 893 systèmes, réimaginé et redémarré chaque machine de son réseau mondial.
L’incident a impliqué une période de reconnaissance de quatre jours pour accéder aux portails Atlassian Confluence et Jira, à la suite de laquelle l’adversaire a créé un compte utilisateur Atlassian malveillant et a établi un accès persistant à son serveur Atlassian pour finalement obtenir l’accès à son système de gestion de code source Bitbucket au moyen du Cadre de simulation d’adversaire Sliver.
Pas moins de 120 référentiels de codes ont été consultés, dont 76 auraient été exfiltrés par l’attaquant.
« Les 76 référentiels de code source étaient presque tous liés au fonctionnement des sauvegardes, à la configuration et à la gestion du réseau mondial, au fonctionnement de l’identité chez Cloudflare, à l’accès à distance et à notre utilisation de Terraform et Kubernetes », a déclaré Cloudflare.
« Un petit nombre de référentiels contenaient des secrets cryptés qui ont été immédiatement alternés, même s’ils étaient eux-mêmes fortement cryptés. »
L’acteur malveillant aurait alors tenté en vain « d’accéder à un serveur de console ayant accès au centre de données que Cloudflare n’avait pas encore mis en production à São Paulo, au Brésil ».
L’attaque a été réalisée en utilisant un jeton d’accès et trois informations d’identification de compte de service associées à Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks et Smartsheet qui ont été volées à la suite du piratage d’octobre 2023 du système de gestion des dossiers d’assistance d’Okta.
Cloudflare a reconnu qu’il n’avait pas réussi à alterner ces informations d’identification, supposant à tort qu’elles n’étaient pas utilisées.
La société a également déclaré avoir pris des mesures pour mettre fin à toutes les connexions malveillantes provenant de l’acteur menaçant le 24 novembre 2024. Elle a également fait appel à la société de cybersécurité CrowdStrike pour effectuer une évaluation indépendante de l’incident.
« Le seul système de production auquel l’acteur malveillant pouvait accéder à l’aide des informations d’identification volées était notre environnement Atlassian. En analysant les pages wiki auxquelles ils ont accédé, les problèmes de base de données de bogues et les référentiels de code source, il semble qu’ils recherchaient des informations sur l’architecture, la sécurité et la gestion. de notre réseau mondial », a déclaré Cloudflare.