Cloudflare در پاییز گذشته قربانی کمپین زنجیره تامین گسترده Okta شد، با نقض داده‌ها بر پلتفرم‌های Atlassian Bitbucket، Confluence و Jira که از روز شکرگزاری شروع شد.

شرکت امنیت اینترنت و حفاظت از DDoS گفت: "بر اساس همکاری ما با همکاران در صنعت و دولت، ما معتقدیم که این حمله توسط یک مهاجم دولت ملی با هدف دستیابی به دسترسی مداوم و گسترده به شبکه جهانی Cloudflare انجام شده است." آ وبلاگی در مورد حادثه سایبری مربوط به Okta، دیروز منتشر شد.

مهاجمان سایبری به دنبال گزینه های حرکت جانبی بودند

Cloudflare با CrowdStrike کار کرد و توانست تعیین کند که پس از کار شناسایی اولیه، مهاجمان سایبری قبل از ایجاد پایداری در سرور Atlassian خود، به ویکی داخلی (Confluence) و پایگاه داده اشکالات (Jira) دسترسی پیدا کردند. از آنجا، مجرمان به دنبال مکان‌هایی برای چرخش بودند و با موفقیت به سیستم مدیریت کد منبع Cloudflare (Bitbucket) و یک نمونه AWS رفتند.

تجزیه و تحلیل نشان داد که مهاجمان سایبری "به دنبال اطلاعاتی در مورد پیکربندی و مدیریت شبکه جهانی ما بودند و به بلیط های مختلف Jira ... مربوط به مدیریت آسیب پذیری، چرخش مخفی، بای پس MFA، دسترسی به شبکه و حتی پاسخ ما به خود حادثه Okta دسترسی پیدا کردند. "

اما آنها تا حد زیادی از سایر سیستم‌هایی که امتحان کردند، مانند سرور کنسولی که به یک مرکز داده غیرفعال در سائوپائولو دسترسی داشت، بسته شدند.

در مجموع، مهاجمان ناشناس «به برخی اسناد و مقدار محدودی از کد منبع دسترسی پیدا کردند»، اما طبق گفته Cloudflare، به دلیل تقسیم‌بندی شبکه و اجرای یک رویکرد احراز هویت با اعتماد صفر که حرکت جانبی را محدود می‌کرد، هیچ داده یا سیستمی برای مشتری نداشتند.

با این وجود، شرکت در مورد احتیاط اشتباه کرد: «ما تلاشی جامع برای چرخاندن هر اعتبار تولید (بیش از 5,000 اعتبارنامه فردی)، تست فیزیکی بخش‌بندی و سیستم‌های مرحله‌بندی انجام دادیم، تریاژهای پزشکی قانونی را روی 4,893 سیستم انجام دادیم، هر ماشین را دوباره تصویر کردیم و راه‌اندازی مجدد کردیم. شبکه جهانی ما شامل تمام سیستم هایی است که عامل تهدید به آنها دسترسی پیدا کرده است کلیه محصولات اطلسی (Jira، Confluence، و Bitbucket).

Tal Skverer، سرپرست تیم تحقیقاتی Astrix Security، می‌گوید: «این… حمله به یکی از بزرگترین شرکت‌های [نرم‌افزار به‌عنوان سرویس]… به‌شدت خطرات حملات زنجیره تأمین را برجسته می‌کند. "در این نقض، ما دوباره می بینیم که چگونه دسترسی غیرانسانی توسط مهاجمان برای دستیابی به دسترسی با امتیاز بالا به سیستم های داخلی که نظارت نشده است مورد سوء استفاده قرار می گیرد. ما همچنین می بینیم که چگونه مهاجمان هم ابر، SaaS و همچنین راه حل های on-prem را برای گسترش دسترسی خود هدف قرار می دهند.

یکی دیگر از قربانیان نقض Okta

در ماه اکتبر، Okta، ارائه‌دهنده خدمات مدیریت هویت و دسترسی، فاش کرد که این موضوع وجود دارد سیستم مدیریت پرونده پشتیبانی مشتری به خطر افتاده است، افشای اطلاعات حساس مشتری از جمله کوکی ها و نشانه های جلسه، نام کاربری، ایمیل، نام شرکت و موارد دیگر. در ابتدا این شرکت گفت کمتر از 1 درصد از مشتریان آن است تحت تأثیر قرار گرفتند (در مجموع 134)، اما در اواخر نوامبر شرکت این عدد را به 100% افزایش داد.

طبق گفته Cloudflare، "آنها [به مصالحه] با استفاده از یک نشانه دسترسی و سه اعتبار حساب کاربری که گرفته شده بود، دست یافتند، و ما نتوانستیم آنها را بچرخانیم، پس از سازش Okta در اکتبر 2023." تمام دسترسی ها و اتصالات عامل تهدید در 24 نوامبر قطع شد و CrowdStrike تأیید کرده است که آخرین شواهد از فعالیت تهدید در 24 نوامبر در ساعت 10:44 بوده است.

یکی از سخنگویان Okta به Dark Reading می گوید: «این یک حادثه یا افشای جدید از سوی Okta نیست. در 19 اکتبر، به مشتریان اطلاع دادیم، راهنمایی برای چرخاندن اعتبارنامه‌ها به اشتراک گذاشتیم و شاخص‌هایی از سازش (IoC) مربوط به حادثه امنیتی اکتبر را ارائه کردیم. ما نمی توانیم در مورد اصلاحات امنیتی مشتریان خود اظهار نظر کنیم.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/threat-intelligence/cloudflare-falls-victim-okta-breach-atlassian-systems-cracked