Cloudflare توسط عامل تهدید مظنون تحت حمایت دولت در حال دسترسی به کد منبع و اسناد داخلی نقض شد

Cloudflare، یک شرکت معروف امنیت وب و شبکه تحویل محتوا، اخیراً یک نقض امنیتی مربوط به سازماندهی شده توسط یک عامل تهدید مظنون تحت حمایت دولت را افشا کرده است. این حادثه که در 23 نوامبر رونمایی شد، شامل دسترسی غیرمجاز به سیستم‌های داخلی از طریق اعتبارنامه‌های سرقت شده بود که در ابتدا در جریان هک Okta در اکتبر 2023 به خطر افتاد.

بهره برداری از مدارک سرقت شده

عامل تهدید از این اعتبارنامه ها برای نفوذ به پایگاه داده ویکی و اشکالات داخلی Cloudflare استفاده کرد و فعالیت های شناسایی را از 14 نوامبر آغاز کرد. علیرغم اینکه تقسیم بندی شبکه مانع دسترسی به برخی از سیستم های حیاتی می شود، مهاجمان موفق شدند به محیط AWS Cloudflare و مجموعه Atlassian از جمله Jira و Conflu نفوذ کنند.

در مجموعه Atlassian، مهاجمان برای یافتن اطلاعات مربوط به زیرساخت شبکه Cloudflare، با تمرکز بر کلمات کلیدی مانند "دسترسی از راه دور"، "مخفی" و "token" جستجو کردند. آنها حتی یک حساب کاربری Atlassian دائمی برای اطمینان از دسترسی مداوم ایجاد کردند. علاوه بر این، آنها چارچوب شبیه‌سازی دشمن Sliver را برای دسترسی بیشتر به کار گرفتند و تلاش کردند به یک مرکز داده غیرعملیاتی در سائوپائولو، برزیل نفوذ کنند.

برنامه اقدام Swift Cloudflare

در حالی که مهاجمان به مخازن کد منبع دسترسی داشتند و آنها را دانلود می کردند، Cloudflare بلافاصله با چرخاندن اسرار رمزگذاری شده و خاتمه حساب های غیرمجاز پاسخ داد. قوانین فایروال برای مسدود کردن آدرس‌های IP مهاجمان اجرا شد و اقدامات امنیتی گسترده‌ای از جمله تصویربرداری مجدد و راه‌اندازی مجدد همه ماشین‌ها در شبکه جهانی Cloudflare انجام شد.

با وجود بررسی کامل توسط Cloudflare و CrowdStrike، هیچ شواهدی حاکی از مصالحه بیشتر فراتر از سیستم‌های قابل دسترسی نبود. این شرکت همچنان هوشیار است و به طور مداوم اقدامات امنیتی خود را برای جلوگیری از رخنه های آتی بهبود می بخشد و از زیرساخت های خود در برابر تهدیدات پیچیده محافظت می کند.