Verstoß gegen Cloudflare durch mutmaßlichen staatlich geförderten Bedrohungsakteur, der auf Quellcode und interne Dokumente zugreift

Cloudflare, ein bekanntes Web-Sicherheitsunternehmen und Content-Delivery-Netzwerk, hat kürzlich eine besorgniserregende Sicherheitsverletzung offengelegt, die von einem mutmaßlichen staatlich geförderten Bedrohungsakteur inszeniert wurde. Der am 23. November aufgedeckte Vorfall betraf den unbefugten Zugriff auf interne Systeme durch gestohlene Zugangsdaten, die ursprünglich während des Okta-Hacks im Oktober 2023 kompromittiert wurden.

Ausnutzung gestohlener Zugangsdaten

Der Bedrohungsakteur nutzte diese Anmeldeinformationen aus, um das interne Wiki und die Fehlerdatenbank von Cloudflare zu infiltrieren, und führte ab dem 14. November Aufklärungsaktivitäten durch. Obwohl die Netzwerksegmentierung den Zugriff auf bestimmte kritische Systeme behinderte, gelang es den Angreifern, in die AWS-Umgebung und Atlassian-Suite von Cloudflare, einschließlich Jira und Confluence, einzudringen.

Innerhalb der Atlassian-Suite suchten die Angreifer nach Informationen im Zusammenhang mit der Netzwerkinfrastruktur von Cloudflare und konzentrierten sich dabei auf Schlüsselwörter wie „Remotezugriff“, „Geheimnis“ und „Token“. Sie haben sogar ein dauerhaftes Atlassian-Konto erstellt, um den kontinuierlichen Zugriff sicherzustellen. Darüber hinaus setzten sie das Sliver Adversary Emulation Framework ein, um weiteren Zugriff zu erhalten, und versuchten, in ein nicht betriebsbereites Rechenzentrum in São Paulo, Brasilien, einzudringen.

Der schnelle Aktionsplan von Cloudflare

Während die Angreifer auf Quellcode-Repositorys zugegriffen und diese heruntergeladen haben, reagierte Cloudflare umgehend, indem es verschlüsselte Geheimnisse rotierte und nicht autorisierte Konten löschte. Es wurden Firewall-Regeln implementiert, um die IP-Adressen der Angreifer zu blockieren, und es wurden umfangreiche Sicherheitsmaßnahmen ergriffen, darunter die Neuabbildung und der Neustart aller Maschinen im globalen Netzwerk von Cloudflare.

Trotz der gründlichen Untersuchung durch Cloudflare und CrowdStrike gab es keine Hinweise auf eine weitere Kompromittierung über die zugegriffenen Systeme hinaus. Das Unternehmen bleibt wachsam und verbessert kontinuierlich seine Sicherheitsmaßnahmen, um zukünftige Verstöße zu verhindern und seine Infrastruktur vor raffinierten Bedrohungen zu schützen.