Cloudflare、ソースコードと内部文書にアクセスする国家支援の脅威アクター容疑者によって侵害される

有名な Web セキュリティ会社でありコンテンツ配信ネットワークである Cloudflare は、最近、国家支援の疑いのある攻撃者によって組織された懸念すべきセキュリティ侵害を明らかにしました。 11 月 23 日に明らかにされたこのインシデントには、2023 年 10 月の Okta ハッキング時に最初に侵害された、盗まれた資格情報を介した内部システムへの不正アクセスが含まれていました。

盗まれた認証情報の悪用

攻撃者はこれらの資格情報を悪用してCloudflareの内部Wikiとバグデータベースに侵入し、11月14日から偵察活動を開始しました。ネットワークのセグメント化により特定の重要なシステムへのアクセスが妨げられていたにもかかわらず、攻撃者はCloudflareのAWS環境とJiraやConfluenceを含むAtlassianスイートへの侵入に成功しました。

アトラシアン スイート内で、攻撃者は「リモート アクセス」、「シークレット」、「トークン」などのキーワードに焦点を当てて、Cloudflare のネットワーク インフラストラクチャに関連する情報を探しました。継続的なアクセスを確保するために、永続的な Atlassian アカウントも作成しました。さらに、Sliver Adversary Emulation Framework を導入してさらなるアクセスを獲得し、ブラジルのサンパウロにある稼働していないデータセンターへの侵入を試みました。

Cloudflareの迅速な行動計画

攻撃者がソースコードリポジトリにアクセスしてダウンロードした間、Cloudflareは暗号化されたシークレットをローテーションし、未承認のアカウントを停止することで即座に対応しました。攻撃者の IP アドレスをブロックするためにファイアウォール ルールが実装され、Cloudflare のグローバル ネットワーク内のすべてのマシンの再イメージ化と再起動を含む広範なセキュリティ対策が講じられました。

Cloudflare と CrowdStrike による徹底的な調査にも関わらず、アクセスされたシステムを超えたさらなる侵害を示唆する証拠はありませんでした。同社は引き続き警戒を続けており、将来の侵害を防止し、高度な脅威からインフラストラクチャを保護するためにセキュリティ対策を継続的に改善しています。