Cloudflare hacked using auth tokens stolen in Okta attack
2024/02/01 BleepingComputer — 今日、Cloudflare が公表したのは、同社内の Atlassian サーバが APT と疑われる人物に侵入され、Confluence wiki/Jira Bug Database/Bitbucket Source Code Management System への不正アクセスが発生したことだ。この脅威アクターは、11月14日の時点で Cloudflare のセルフ・ホスト型 Atlassian サーバにアクセスし、偵察段階を経た後に、同社の Confluence/Jira システムにアクセスした。
Cloudflare の CEO である Matthew Prince と、CTO の John Graham-Cumming、CISO の Grant Bourzikas は、「そして、この APT は 11月22日に再び戻り、Jira 用の ScriptRunner を悪用して当社の Atlassian サーバへの永続的なアクセスを確立し、Atlassian Bitbucket SCMS にアクセスし、Cloudflare がブラジルのサンパウロで本稼働準備中のデータセンターにアクセス可能な、コンソール・サーバへのアクセスを試行したが失敗した」と述べている。
この攻撃者は、Cloudflare のシステムにアクセスするために、2023年10月に発生した Okta 侵害に関連する、以前の侵害で盗まれたアクセス・トークン1つと、サービス・アカウント認証情報3つを使用したという。
11月23日の時点で、Cloudflare は悪意の活動を検知し、11月24日の朝にハッカーのアクセスを遮断した。そして、サイバー・セキュリティのフォレンジック・スペシャリストが、3日後の 11月26日にインシデントの調査を開始した。
このインシデントに対処する間に、Cloudflare のスタッフは全ての本番用認証情報 (5,000 以上のユニークなもの) をローテーションし、テスト・システムとステージング・システムを物理的にセグメント化した。また、4,893 のシステムでフォレンジック・トリアージを行い、すべての Atlassian サーバ (Jira/Confluence/Bitbucket) と、攻撃者がアクセスしたマシンを含む、同社のグローバル・ネットワーク上の全てのシステムを再イメージし、再起動したという。
この脅威アクターは、サンパウロにある Cloudflare データセンターへのハッキングも試みた。その後に、Cloudflare のブラジル・データセンターの機器は、全てが製造元に返却され、データセンターが 100% 安全であることが確認された。
そのための修復作業は、ほぼ1カ月前の 1月5日に終了したが、同社によると、現在もスタッフは、ソフトウェアのハードニングと、クレデンシャルおよび脆弱性の管理に取り組んでいるという。
同社によると、今回の侵害は Cloudflare 顧客のデータやシステムには影響を与えず、同社のサービス、グローバル・ネットワーク・システムおよびコンフィグレーションにも影響はないという。
CEO である Matthew Prince と、CTO の John Graham-Cumming は、「このインシデントの業務上の影響は極めて限定的であると理解しているが、脅威アクターにより窃取された認証情報が悪用され、当社の Atlassian サーバへの不正アクセスが生じ、一部のドキュメントと限られた量のソースコードへの不正アクセスに至った。そのため当社は、このインシデントを非常に深刻に受け止めている」と述べている。
同社は、「業界や政府との協力に基づき、この攻撃は、Cloudflare のグローバル・ネットワークへの、持続的かつ広範なアクセスを得ることを目的とした。APT により実行されたと考えている。この脅威アクターがアクセスした Wiki ページ/バグ・データベース/ソースコード・リポジトリを分析した範囲では、我々のグローバル・ネットワークのアーキテクチャ/セキュリティ/管理に関する情報が探索されたと推測できる」と付け加えている。
2023年10月18日に、Okta のサポート・システムから盗まれた認証トークンの悪用により、 Cloudflare の Okta インスタンスが侵入された。Okta の顧客サポート・システムに侵入したハッカーは、1Password/BeyondTrust/Cloudflare を含む、134 の顧客のファイルにもアクセスしていたという。
2023年10月のインシデントの後に、Cloudflare のセキュリティ・インシデント・レスポンス・チームの迅速な対応により、システムとデータへの影響は最小限に抑えられ、同社の顧客情報やシステムへの影響はなかったと述べていた。
また、2022年8月にも、攻撃者がフィッシング攻撃で盗んだ従業員の認証情報を悪用し、Cloudflare のシステムに侵入しようとしたが、同社から発行された FIDO2 準拠のセキュリティ・キーへのアクセスは不可能であり、この攻撃は阻止された。
難攻不落の Cloudflare が、Okta インシデントで盗まれたアクセス・トークンなどの悪用により侵害されたという、かなりショッキングなニュースですが、本番稼働準備中のブラジルのデータセンターに限定された話ということで、ちょっと安心しました。同社のアドバイザリには、Matthew Prince まで登場して、詳細までの説明を行っています。それにしても、徹底したパスワード・ローテーションの実施などは、さすがという対応ですね。よろしければ、Cloudflare で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.