Thought Leadership
Cloudflare hat kürzlich einen Sicherheitsvorfall aufgedeckt, bei dem ein mußtmaßlich staatlich unterstützter Angreifer durch gestohlene Zugangsdaten in einige interne Systeme eindrang.
Der Hack wurde am 23. November entdeckt. Die veröffentlichten Ergebnisse des forensischen Teams zeigen, dass der Angreifer zwischen dem 14. und 17. November zunächst Aufklärungsarbeit leistete und dann Zugang zum internen Wiki von Cloudflare erlangte. Zugang hatte dieser auch zur Bug-Datenbank, die auf Atlassian Jira basiert. Weitere Aktivitäten wurden am 20. und 21. November festgestellt, wobei der Angreifer vermutlich zurückkehrte, um den Zugang noch einmal zu testen. Am 22. November etablierte der Angreifer mit Hilfe von ScriptRunner für Jira dauerhaften Zugang zum Atlassian-Server und erlangte Zugang zum Quellcodeverwaltungssystem von Cloudflare.
Man trennte den Zugang des Hackers am Morgen des 24. November. Während der Untersuchung des Vorfalls wechselten die Mitarbeiter von Cloudflare alle Produktionsanmeldeinformationen, trennten Test- und Staging-Systeme physisch ab, führten eine forensische Triage auf 4.893 Systemen durch, setzten alle Systeme im globalen Netzwerk des Unternehmens neu auf, einschließlich aller Atlassian-Server (Jira, Confluence und Bitbucket), auf die der Angreifer Zugriff hatte.
Cloudflare betont, dass keine Kundendaten oder -systeme durch den Vorfall betroffen waren. Die Sicherheitsmaßnahmen von Cloudflare, einschließlich Zugangskontrollen, Firewall-Regeln, harten Sicherheitsschlüsseln und Zero-Trust-Tools, beschränkten die Fähigkeit des Angreifers, sich im Netzwerk zu bewegen. Keine Dienste wurden unterbrochen und es mussten keine Änderungen an den globalen Netzwerksystemen oder -konfigurationen vorgenommen werden, heißt es. Die einzigen Daten, auf die der Angreifer in dieser Zeit Zugriff hatte, befanden sich auf dem Atlassian-Server. Es wurde festgestellt, dass der Angreifer nach Informationen über die Architektur, Sicherheit und Verwaltung des globalen Netzwerks von Cloudflare suchte.
Zugangsdaten aus Okta-Hack
Interessant ist, wie der Angreifer Zugang erlangte: Dies geschah durch ein Zugangstoken und drei Dienstkontenzugänge, die im Oktober beim Hack von Okta kompromittiert wurden. Cloudflare räumt ein, dass es ein Fehler war, den Zugang nach dem Hack von Okta nicht geändert zu haben. Jeglicher Zugang und alle Verbindungen des Angreifers wurden aber am 24. November beendet.
„Das war ein Sicherheitsvorfall, der einen ausgeklügelten Akteur, wahrscheinlich einen staatlichen Akteur, involvierte, der bedacht und methodisch vorging“, schlussfolgert Cloudflare. „Die Maßnahmen, die wir ergriffen haben, haben sichergestellt, dass die Auswirkungen des Vorfalls begrenzt waren und dass wir gut darauf vorbereitet sind, zukünftigen ausgefeilten Angriffen zu widerstehen.“
