涉嫌国家资助的威胁行为者访问源代码和内部文档破坏了 Cloudflare

Cloudflare 是一家著名的网络安全公司和内容交付网络，最近披露了一起由疑似国家支持的威胁行为者策划的令人担忧的安全漏洞。该事件于 11 月 23 日公布，涉及通过被盗凭证未经授权访问内部系统，这些凭证最初是在 2023 年 10 月的 Okta 黑客攻击中受到损害。

利用被盗的凭证

威胁行为者利用这些凭证渗透到 Cloudflare 的内部 wiki 和 bug 数据库，并从 11 月 14 日开始进行侦察活动。尽管网络分段阻碍了对某些关键系统的访问，但攻击者还是成功渗透了 Cloudflare 的 AWS 环境和 Atlassian 套件，包括 Jira 和 Confluence。

在 Atlassian 套件中，攻击者搜索与 Cloudflare 网络基础设施相关的信息，重点关注“远程访问”、“秘密”和“令牌”等关键字。他们甚至创建了一个持久的 Atlassian 帐户以确保持续访问。此外，他们还部署了 Sliver Adversary Emulation Framework 以获得进一步的访问权限，并试图破坏巴西圣保罗的一个非运营数据中心。

Cloudflare 的快速行动计划

当攻击者访问和下载源代码存储库时，Cloudflare 立即做出响应，轮换加密机密并终止未经授权的帐户。我们实施了防火墙规则来阻止攻击者的 IP 地址，并采取了广泛的安全措施，包括重新映像和重新启动 Cloudflare 全球网络内的所有计算机。

尽管 Cloudflare 和 CrowdStrike 进行了彻底调查，但没有证据表明除了被访问的系统之外还有进一步的危害。该公司保持警惕，不断改进其安全措施，以防止未来的违规行为并保护其基础设施免受复杂的威胁。