Cloudflare ถูกละเมิดโดยผู้ต้องสงสัยเป็นภัยคุกคามที่ได้รับการสนับสนุนจากรัฐ เข้าถึงซอร์สโค้ดและเอกสารภายใน
Cloudflare บริษัทรักษาความปลอดภัยเว็บไซต์และเครือข่ายจัดส่งเนื้อหาที่มีชื่อเสียง เปิดเผยเมื่อเร็ว ๆ นี้เกี่ยวกับการละเมิดความปลอดภัยที่เกี่ยวข้อง ซึ่งจัดทำโดยผู้ต้องสงสัยเป็นภัยคุกคามที่ได้รับการสนับสนุนจากรัฐ เหตุการณ์ดังกล่าวซึ่งเปิดเผยเมื่อวันที่ 23 พฤศจิกายน เกี่ยวข้องกับการเข้าถึงระบบภายในโดยไม่ได้รับอนุญาตผ่านข้อมูลประจำตัวที่ถูกขโมย ซึ่งเริ่มแรกถูกโจมตีระหว่างการแฮ็ก Okta ในเดือนตุลาคม 2023
การใช้ประโยชน์จากข้อมูลรับรองที่ถูกขโมย
ผู้ก่อภัยคุกคามใช้ประโยชน์จากข้อมูลประจำตัวเหล่านี้เพื่อแทรกซึมเข้าไปในวิกิภายในและฐานข้อมูลข้อบกพร่องของ Cloudflare โดยดำเนินกิจกรรมการลาดตระเวนเริ่มตั้งแต่วันที่ 14 พฤศจิกายน แม้ว่าการแบ่งส่วนเครือข่ายจะขัดขวางการเข้าถึงระบบที่สำคัญบางระบบ ผู้โจมตีก็สามารถเจาะเข้าไปในสภาพแวดล้อม AWS และชุด Atlassian ของ Cloudflare ได้ รวมถึง Jira และ Confluence
ภายในชุด Atlassian ผู้โจมตีค้นหาข้อมูลที่เกี่ยวข้องกับโครงสร้างพื้นฐานเครือข่ายของ Cloudflare โดยมุ่งเน้นไปที่คำหลักเช่น "การเข้าถึงระยะไกล" "ความลับ" และ "โทเค็น" พวกเขายังสร้างบัญชี Atlassian แบบถาวรเพื่อให้แน่ใจว่ามีการเข้าถึงอย่างต่อเนื่อง นอกจากนี้ พวกเขายังปรับใช้ Sliver Adversary Emulation Framework เพื่อเข้าถึงเพิ่มเติมและพยายามละเมิดศูนย์ข้อมูลที่ไม่ได้ใช้งานในเมืองเซาเปาโล ประเทศบราซิล
แผนปฏิบัติการที่รวดเร็วของ Cloudflare
ในขณะที่ผู้โจมตีเข้าถึงและดาวน์โหลดที่เก็บซอร์สโค้ด Cloudflare ตอบสนองทันทีด้วยการหมุนเวียนความลับที่เข้ารหัสและยกเลิกบัญชีที่ไม่ได้รับอนุญาต กฎไฟร์วอลล์ถูกนำมาใช้เพื่อบล็อกที่อยู่ IP ของผู้โจมตี และดำเนินมาตรการรักษาความปลอดภัยที่ครอบคลุม รวมถึงการสร้างอิมเมจใหม่และการรีบูตเครื่องทั้งหมดภายในเครือข่ายทั่วโลกของ Cloudflare
แม้ว่า Cloudflare และ CrowdStrike จะมีการตรวจสอบอย่างละเอียดถี่ถ้วน แต่ก็ไม่มีหลักฐานใดที่บ่งชี้ถึงการประนีประนอมเพิ่มเติมนอกเหนือจากระบบที่เข้าถึงได้ บริษัทยังคงระมัดระวัง ปรับปรุงมาตรการรักษาความปลอดภัยอย่างต่อเนื่องเพื่อป้องกันการละเมิดในอนาคต และปกป้องโครงสร้างพื้นฐานจากภัยคุกคามที่ซับซ้อน