Cloudflare เปิดเผยว่าเซิร์ฟเวอร์ Atlassian ภายในถูกเจาะโดยแฮ็กเกอร์ที่ได้รับการสนับสนุนระดับประเทศ ทำให้สามารถเข้าถึง Confluence wiki, ฐานข้อมูลของ Jira และระบบจัดการซอร์สโค้ดของ Bitbucket
โดยผู้บริหารของ Cloudflare – Matthew Prince (CEO), John Graham-Cumming (CTO) และ Grant Bourzikas (CISO) ระบุว่าแฮ็กเกอร์เข้าถึงเซิร์ฟเวอร์ Atlassian ได้ครั้งแรกเมื่อวันที่ 14 พฤศจิกายน 2023 จากนั้นจึงเข้าถึงระบบ Confluence และ Jira ของบริษัท และกลับมาอีกครั้งในวันที่ 22 พฤศจิกายน 2023 เพื่อเข้าถึงเซิร์ฟเวอร์ Atlassian อย่างต่อเนื่อง โดยใช้ ScriptRunner สำหรับ Jira ในการเข้าถึงระบบการจัดการซอร์สโค้ด (ซึ่งใช้ Atlassian Bitbucket) และพยายามเข้าถึง console server ที่สามารถเข้าถึงศูนย์ข้อมูลของ Cloudflare ที่ยังไม่ได้เป็นเซิร์ฟเวอร์ production ในเซาเปาโล ประเทศบราซิล
ในการเข้าถึงระบบ แฮ็กเกอร์ใช้ access token หนึ่งรายการ และ service account credentials อีกสามรายการที่ถูกขโมยไปในระหว่างการโจมตีครั้งก่อน ซึ่งเชื่อมโยงกับการละเมิดระบบของ Okta ตั้งแต่เดือนตุลาคม 2023 ซึ่ง Cloudflare ยังไม่ได้ rotate การใช้งาน (จากการรั่วไหลหลายพันรายการระหว่างการถูกโจมตีของ Okta)
Cloudflare ตรวจพบพฤติกรรมที่เป็นอันตรายเมื่อวันที่ 23 พฤศจิกายน 2023 โดยตัดการเข้าถึงของแฮ็กเกอร์ได้ในเช้าวันที่ 24 พฤศจิกายน 2023 และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เริ่มสืบสวนเหตุการณ์ดังกล่าวในสามวันต่อมาในวันที่ 26 พฤศจิกายน 2023
โดยการจัดการกับเหตุการณ์ดังกล่าว พนักงานของ Cloudflare ได้ rotated credentials ของเซิร์ฟเวอร์ production ทั้งหมด (มากกว่า 5,000 รายการซึ่งไม่ซ้ำกัน) รวมถึงระบบทดสอบ และดำเนินการ forensic บนระบบ 4,893 ระบบ สร้างไฟล์ image ใหม่ และรีบูตระบบทั้งหมดของบริษัทบนเครือข่ายทั่วโลก รวมถึงเซิร์ฟเวอร์ Atlassian ทั้งหมด (Jira, Confluence และ Bitbucket) และเครื่องที่ถูกเข้าถึงโดยแฮ็กเกอร์
แฮ็กเกอร์ยังพยายามเจาะเข้าสู่ศูนย์ข้อมูลของ Cloudflare ในเซาเปาโล ซึ่งยังไม่ได้ใช้เป็นเซิร์ฟเวอร์ production แต่ไม่สำเร็จ โดยอุปกรณ์ทั้งหมดในศูนย์ข้อมูลบราซิลของ Cloudflare ถูกส่งกลับไปยังผู้ผลิตในภายหลังเพื่อให้แน่ใจว่าศูนย์ข้อมูลมีความปลอดภัย 100%
ความพยายามในการแก้ไขสิ้นสุดลงเมื่อเกือบหนึ่งเดือนที่แล้วในวันที่ 5 มกราคม 2024 แต่บริษัทระบุว่าพนักงานยังคงทำงานเกี่ยวกับการทำ software hardening รวมถึงการจัดการ credential และช่องโหว่ต่าง ๆ
บริษัทระบุว่าการละเมิดครั้งนี้ไม่ส่งผลกระทบต่อข้อมูล หรือระบบของลูกค้า Cloudflare รวมถึงบริการระบบเครือข่ายทั่วโลก และ configuration ต่าง ๆ
Graham-Cumming และ Bourzikas ระบุว่า แม้ว่าผลกระทบจากเหตุการณ์ดังกล่าวส่งผลกระทบในวงจำกัด แต่บริษัทก็ให้ความสำคัญกับเหตุการณ์นี้อย่างมาก เนื่องจากแฮ็กเกอร์ได้ใช้ข้อมูล credential ที่ถูกขโมยมาเพื่อเข้าถึงเซิร์ฟเวอร์ Atlassian ของบริษัท และเข้าถึงเอกสารบางส่วน และซอร์สโค้ดบางส่วน ทั้งนี้จากความร่วมมือของบริษัท และรัฐบาล เชื่อว่าการโจมตีนี้ดำเนินการโดยแฮ็กเกอร์ที่ได้รับการสนับสนุนในระดับประเทศ โดยมีเป้าหมายเพื่อให้สามารถเข้าถึงเครือข่ายของ Cloudflare ทั่วโลกอย่างต่อเนื่อง และอย่างกว้างขวาง
จากการวิเคราะห์ wiki pages ที่พวกเขาเข้าถึง, ปัญหา bug database และที่เก็บซอร์สโค้ด ดูเหมือนว่าแฮ็กเกอร์กำลังค้นหาข้อมูลเกี่ยวกับสถาปัตยกรรม ความปลอดภัย และการจัดการเครือข่ายทั่วโลกของบริษัท ซึ่งแน่นอนว่าบริษัทจะต้องดำเนินการให้มีความปลอดภัยมากยิ่งขึ้น
ก่อนหน้านี้เคยมีความพยายามในการละเมิดระบบของ Cloudflare ในเดือนสิงหาคม 2022 หลังจากที่ผู้โจมตีพยายามใช้ข้อมูลประจำตัวของพนักงานที่ถูกขโมยไปในการโจมตีแบบฟิชชิ่ง แต่ไม่สำเร็จเนื่องจากไม่สามารถเข้าถึง FIDO2-compliant security keys ของเหยื่อได้
ที่มา :bleepingcomputer
You must be logged in to post a comment.