Администрация Cloudflare сообщила о взломе своих систем
Администрация Cloudflare сообщила о взломе своих систем. Фото: из архива компании
Злоумышленник сначала получил доступ к автономному серверу Atlassian Cloudflare 14 ноября, а затем после этапа разведки получил доступ к системам Confluence и Jira компании.
Из совместного сообщения генерального директора Cloudflare Мэтью Принса, технического директора Джона Грэм-Камминга и директора по информационной безопасности Гранта Бурзикаса:
«22 ноября злоумышленники установили постоянный доступ к нашему серверу Atlassian с помощью ScriptRunner for Jira, получили доступ к нашей системе управления исходным кодом (которая использует Atlassian Bitbucket) и попытались, но безуспешно, получить доступ к консольному серверу, который имел доступ к Центру обработки данных, который компания еще не запустила в эксплуатацию, в Сан-Паулу, Бразилия. Чтобы получить доступ к системам, злоумышленники использовали один токен доступа и три учетных данных сервисной учетной записи, украденные во время предыдущего взлома Okta в октябре 2023 года.»
Команда Cloudflare обнаружила вредоносную активность 23 ноября, закрыла хакеру доступ утром 24 ноября, а специалисты по кибербезопасности начали расследование инцидента три дня спустя, 26 ноября.
В ходе устранения инцидента сотрудники Cloudflare заменили все производственные учетные данные (более 5000 уникальных), физически сегментировали системы тестирования и промежуточной подготовки, выполнили криминалистическую сортировку на 4893 системах, повторно создали образы и перезагрузили все системы в глобальной сети компании, включая все серверы Atlassian (Jira, Confluence и Bitbucket) и машины, к которым получил доступ злоумышленник.
Злоумышленники также пытались взломать центр обработки данных Cloudflare в Сан-Паулу, который еще не используется в производстве, но эти попытки не увенчались успехом. Все оборудование в дата-центре Cloudflare в Бразилии позже было возвращено производителям, чтобы гарантировать 100% безопасность дата-центра.
Работы по исправлению ситуации завершились почти месяц назад, 5 января, но компания заявляет, что ее сотрудники все еще работают над усилением защиты программного обеспечения, а также над управлением учетными данными и уязвимостями.
Утверждается, что нарушение не повлияло на данные или системы клиентов Cloudflare; его службы, глобальные сетевые системы или конфигурация также не пострадали.
Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было