Cloudflare è stato vittima della vasta campagna sulla catena di fornitura di Okta lo scorso autunno, con una violazione dei dati che ha avuto un impatto sulle sue piattaforme Atlassian Bitbucket, Confluence e Jira a partire dal Giorno del Ringraziamento.
"Sulla base della nostra collaborazione con colleghi del settore e del governo, riteniamo che questo attacco sia stato eseguito da un aggressore di tipo nazionale con l'obiettivo di ottenere un accesso persistente e diffuso alla rete globale di Cloudflare", ha affermato la società di sicurezza Internet e protezione DDoS in UN blog sull'incidente informatico legato a Okta, pubblicato ieri.
Gli aggressori informatici cercavano opzioni di movimento laterale
Cloudflare ha lavorato con CrowdStrike ed è stato in grado di determinare che, dopo il lavoro di ricognizione iniziale, gli aggressori informatici hanno avuto accesso alla sua wiki interna (Confluence) e al database dei bug (Jira) prima di stabilire la persistenza sul suo server Atlassian. Da lì, gli autori del reato hanno cercato luoghi in cui concentrarsi, saltando con successo nel sistema di gestione del codice sorgente Cloudflare (Bitbucket) e in un'istanza AWS.
L’analisi ha mostrato che gli aggressori informatici stavano “cercando informazioni sulla configurazione e la gestione della nostra rete globale e hanno avuto accesso a vari ticket Jira… relativi alla gestione delle vulnerabilità, alla rotazione segreta, al bypass MFA, all’accesso alla rete e persino alla nostra risposta all’incidente Okta stesso .”
Ma sono stati in gran parte esclusi dagli altri sistemi che hanno provato, come un server console che aveva accesso a un data center dormiente a San Paolo.
Nel complesso, secondo Cloudflare, gli aggressori sconosciuti "hanno avuto accesso ad alcuni documenti e a una quantità limitata di codice sorgente", ma non ai dati o ai sistemi dei clienti, grazie alla segmentazione della rete e all'implementazione di un approccio di autenticazione zero-trust che limitava i movimenti laterali.
Ciononostante, l’azienda ha commesso un errore di prudenza: “Abbiamo intrapreso uno sforzo globale per ruotare tutte le credenziali di produzione (più di 5,000 credenziali individuali), segmentare fisicamente i sistemi di test e staging, eseguire triage forensi su 4,893 sistemi, reimmaginare e riavviare ogni macchina in la nostra rete globale, inclusi tutti i sistemi a cui ha avuto accesso l'autore della minaccia tutti i prodotti Atlassian (Jira, Confluence e Bitbucket).”
Ancora un'altra vittima della violazione di Okta
Nel mese di ottobre, Okta, il fornitore di servizi di gestione delle identità e degli accessi, ha rivelato che il suo il sistema di gestione dei casi di assistenza clienti è stato compromesso, esponendo dati sensibili dei clienti tra cui cookie e token di sessione, nomi utente, e-mail, nomi di società e altro ancora. Inizialmente l'azienda lo aveva detto meno dell’1% dei suoi clienti sono stati colpiti (134 in tutto), ma a fine novembre l'azienda ha ampliato il numero fino a raggiungere uno sbalorditivo 100%.
"Hanno [raggiunto il compromesso] utilizzando un token di accesso e tre credenziali di account di servizio che erano state prese e che non siamo riusciti a ruotare, dopo il compromesso Okta dell'ottobre 2023", secondo Cloudflare. "Tutti gli accessi e le connessioni degli autori delle minacce sono stati interrotti il 24 novembre e CrowdStrike ha confermato che l'ultima prova di attività di minaccia è avvenuta il 24 novembre alle 10:44."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/threat-intelligence/cloudflare-falls-victim-okta-breach-atlassian-systems-cracked
