Cloudflare ตกเป็นเหยื่อของแคมเปญห่วงโซ่อุปทานของ Okta เมื่อฤดูใบไม้ร่วงปีที่แล้ว โดยการละเมิดข้อมูลส่งผลกระทบต่อแพลตฟอร์ม Atlassian Bitbucket, Confluence และ Jira ที่เริ่มต้นในวันขอบคุณพระเจ้า
“จากความร่วมมือของเรากับเพื่อนร่วมงานในอุตสาหกรรมและรัฐบาล เราเชื่อว่าการโจมตีนี้ดำเนินการโดยผู้โจมตีระดับประเทศโดยมีเป้าหมายเพื่อให้สามารถเข้าถึงเครือข่ายทั่วโลกของ Cloudflare อย่างต่อเนื่องและแพร่หลาย” บริษัทรักษาความปลอดภัยทางอินเทอร์เน็ตและการป้องกัน DDoS กล่าวใน ก บล็อกเกี่ยวกับเหตุการณ์ไซเบอร์ที่เกี่ยวข้องกับ Oktaเผยแพร่เมื่อวานนี้
ผู้โจมตีทางไซเบอร์มองหาตัวเลือกการเคลื่อนไหวด้านข้าง
Cloudflare ทำงานร่วมกับ CrowdStrike และสามารถระบุได้ว่าหลังจากการลาดตระเวนครั้งแรก ผู้โจมตีทางไซเบอร์ได้เข้าถึงวิกิภายใน (Confluence) และฐานข้อมูลข้อบกพร่อง (Jira) ก่อนที่จะสร้างการคงอยู่บนเซิร์ฟเวอร์ Atlassian จากนั้นผู้กระทำผิดก็ค้นหาสถานที่ที่จะเข้าไปแทรกแซง และประสบความสำเร็จในการกระโดดเข้าสู่ระบบการจัดการซอร์สโค้ด Cloudflare (Bitbucket) และอินสแตนซ์ AWS
การวิเคราะห์แสดงให้เห็นว่าผู้โจมตีทางไซเบอร์ “กำลังมองหาข้อมูลเกี่ยวกับการกำหนดค่าและการจัดการเครือข่ายทั่วโลกของเรา และเข้าถึงตั๋ว Jira ต่างๆ … ที่เกี่ยวข้องกับการจัดการช่องโหว่ การหมุนเวียนความลับ การเลี่ยงผ่าน MFA การเข้าถึงเครือข่าย และแม้แต่การตอบสนองต่อเหตุการณ์ Okta ของเราเอง ”
แต่ส่วนใหญ่แล้วพวกเขาถูกปิดไม่ให้ใช้ระบบอื่นๆ ที่พวกเขาลองใช้ เช่น คอนโซลเซิร์ฟเวอร์ที่สามารถเข้าถึงศูนย์ข้อมูลที่ไม่มีการเคลื่อนไหวในเซาเปาโล
โดยรวมแล้ว ผู้โจมตีที่ไม่รู้จัก “เข้าถึงเอกสารบางส่วนและซอร์สโค้ดในจำนวนที่จำกัด” แต่ไม่มีข้อมูลลูกค้าหรือระบบ ตามข้อมูลของ Cloudflare ต้องขอบคุณการแบ่งส่วนเครือข่ายและการใช้วิธีการตรวจสอบสิทธิ์แบบ Zero-Trust ที่จำกัดการเคลื่อนไหวด้านข้าง
อย่างไรก็ตาม บริษัททำผิดพลาดโดยใช้ความระมัดระวัง: “เราใช้ความพยายามที่ครอบคลุมในการหมุนเวียนข้อมูลรับรองการผลิตทุกรายการ (มากกว่า 5,000 ข้อมูลประจำตัวส่วนบุคคล) การทดสอบเซกเมนต์ทางกายภาพและระบบการแสดงละคร ดำเนินการตรวจสอบทางนิติวิทยาศาสตร์กับระบบ 4,893 ระบบ ปรับอิมเมจใหม่และรีบูตเครื่องทุกเครื่องใน เครือข่ายทั่วโลกของเรา รวมถึงระบบทั้งหมดที่ผู้คุกคามเข้าถึงและ ผลิตภัณฑ์ Atlassian ทั้งหมด (จิรา, การบรรจบกัน และ Bitbucket)”
เหยื่อการละเมิด Okta อีกคน
ในเดือนตุลาคม Okta ผู้ให้บริการการจัดการข้อมูลประจำตัวและการเข้าถึงเปิดเผยว่า ระบบการจัดการกรณีการสนับสนุนลูกค้าถูกบุกรุกเปิดเผยข้อมูลลูกค้าที่ละเอียดอ่อน รวมถึงคุกกี้และโทเค็นเซสชัน ชื่อผู้ใช้ อีเมล ชื่อบริษัท และอื่นๆ เบื้องต้นทางบริษัทแจ้งว่า น้อยกว่า 1% ของลูกค้า ได้รับผลกระทบ (ทั้งหมด 134 ราย) แต่เมื่อปลายเดือนพฤศจิกายนที่ผ่านมาบริษัท ขยายจำนวนจนน่าทึ่ง 100%.
“พวกเขา [บรรลุการประนีประนอม] โดยใช้โทเค็นการเข้าถึงหนึ่งรายการและข้อมูลรับรองบัญชีบริการสามรายการที่ถูกนำไปใช้ และเราล้มเหลวในการหมุนเวียน หลังจากการประนีประนอม Okta ในเดือนตุลาคม 2023” ตาม Cloudflare “การเข้าถึงและการเชื่อมต่อของผู้คุกคามทั้งหมดถูกยกเลิกในวันที่ 24 พฤศจิกายน และ CrowdStrike ได้ยืนยันว่าหลักฐานสุดท้ายของกิจกรรมภัยคุกคามคือวันที่ 24 พฤศจิกายน เวลา 10:44 น.”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/threat-intelligence/cloudflare-falls-victim-okta-breach-atlassian-systems-cracked