Администрация Cloudflare сообщила о взломе своих систем

Администрация Cloudflare сообщила о взломе своих систем. Фото: из архива компании

Злоумышленник сначала получил доступ к автономному серверу Atlassian Cloudflare 14 ноября, а затем после этапа разведки получил доступ к системам Confluence и Jira компании.

Из совместного сообщения генерального директора Cloudflare Мэтью Принса, технического директора Джона Грэм-Камминга и директора по информационной безопасности Гранта Бурзикаса:

«22 ноября злоумышленники установили постоянный доступ к нашему серверу Atlassian с помощью ScriptRunner for Jira, получили доступ к нашей системе управления исходным кодом (которая использует Atlassian Bitbucket) и попытались, но безуспешно, получить доступ к консольному серверу, который имел доступ к Центру обработки данных, который компания еще не запустила в эксплуатацию, в Сан-Паулу, Бразилия. Чтобы получить доступ к системам, злоумышленники использовали один токен доступа и три учетных данных сервисной учетной записи, украденные во время предыдущего взлома Okta в октябре 2023 года.»

Команда Cloudflare обнаружила вредоносную активность 23 ноября, закрыла хакеру доступ утром 24 ноября, а специалисты по кибербезопасности начали расследование инцидента три дня спустя, 26 ноября.

В ходе устранения инцидента сотрудники Cloudflare заменили все производственные учетные данные (более 5000 уникальных), физически сегментировали системы тестирования и промежуточной подготовки, выполнили криминалистическую сортировку на 4893 системах, повторно создали образы и перезагрузили все системы в глобальной сети компании, включая все серверы Atlassian (Jira, Confluence и Bitbucket) и машины, к которым получил доступ злоумышленник.

Злоумышленники также пытались взломать центр обработки данных Cloudflare в Сан-Паулу, который еще не используется в производстве, но эти попытки не увенчались успехом. Все оборудование в дата-центре Cloudflare в Бразилии позже было возвращено производителям, чтобы гарантировать 100% безопасность дата-центра.

Работы по исправлению ситуации завершились почти месяц назад, 5 января, но компания заявляет, что ее сотрудники все еще работают над усилением защиты программного обеспечения, а также над управлением учетными данными и уязвимостями.

Утверждается, что нарушение не повлияло на данные или системы клиентов Cloudflare; его службы, глобальные сетевые системы или конфигурация также не пострадали.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Cloudflare открывает общий доступ к средству очистки файлов HAR после взлома Okta.
• В Cloudflare рассказали об ошибке нулевого дня и самой масштабной DDoS атаке.
• Cloudflare расширяет элементы управления с нулевым доверием для защиты от утечек генеративных данных ИИ.