Cloudflare hat bekannt gegeben, dass es das Ziel eines wahrscheinlich von einem Nationalstaat ausgeführten Angriffs war. Dabei nutzte der Angreifer gestohlene Zugangsdaten, um unberechtigten Zugriff auf den Atlassian-Server des Unternehmens zu erlangen und schließlich auf einige Dokumentationen und eine begrenzte Menge Quellcode zuzugreifen.
Der Vorfall ereignete sich zwischen dem 14. und 24. November 2023 und wurde am 23. November entdeckt. Laut Cloudflare wurde er mit dem Ziel durchgeführt, „anhaltenden und weitreichenden Zugriff auf das globale Netzwerk von Cloudflare zu erlangen“. Das Unternehmen beschreibt den Angreifer als „sophisticated“ und als jemanden, der „sorgfältig und methodisch vorging“.
Als Vorsichtsmaßnahme hat das Unternehmen über 5.000 Produktionszugangsdaten ausgetauscht, Test- und Stagingsysteme physikalisch abgetrennt und forensische Untersuchungen an 4.893 Systemen durchgeführt. Des Weiteren wurden alle Maschinen im globalen Netzwerk neu installiert und neu gestartet.
Der Vorfall beinhaltete eine viertägige Erkennungsphase, in der die Atlassian Confluence- und Jira-Portale aufgerufen wurden. Anschließend erstellte der Angreifer ein falsches Atlassian-Benutzerkonto und etablierte so einen anhaltenden Zugriff auf den Atlassian-Server, um letztendlich über das Sliver-Adversary-Simulationsframework Zugang zu Cloudflares Bitbucket Source Code Management System zu erlangen.
Es wurden bis zu 120 Code-Repositories eingesehen, von denen geschätzt wird, dass 76 von dem Angreifer exfiltriert wurden. „Die 76 Quellcode-Repositories waren fast alle mit Backup-Prozessen, der Konfiguration und dem Management des globalen Netzwerks, der Identität bei Cloudflare, dem Remote-Zugriff sowie unserem Einsatz von Terraform und Kubernetes verbunden“, so Cloudflare. „Eine kleine Anzahl der Repositories enthielt verschlüsselte Secrets, die sofort ausgetauscht wurden, obwohl sie selbst stark verschlüsselt waren.“
Der Angreifer soll daraufhin erfolglos versucht haben, „auf einen Konsolenserver zuzugreifen, der Zugriff auf das Rechenzentrum hatte und von Cloudflare noch nicht in Betrieb genommen wurde, in São Paulo, Brasilien.“
Der Angriff wurde durch die Nutzung eines Zugangstokens und dreier Service Account-Zugangsdaten ermöglicht, die mit Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks und Smartsheet assoziiert waren. Diese Daten wurden durch den Hack des Support-Fallmanagement-Systems von Okta im Oktober 2023 gestohlen.
Cloudflare gestand ein, dass es versäumt hatte, diese Zugangsdaten auszutauschen, da es fälschlicherweise davon ausging, dass sie nicht verwendet wurden. Das Unternehmen ergriff zudem Maßnahmen, um alle böswilligen Verbindungen, die vom Angreifer ausgingen, am 24. November 2024 zu beenden. Es beauftragte auch das Cybersecurity-Unternehmen CrowdStrike mit einer unabhängigen Bewertung des Vorfalls.
„Die einzigen Produktionssysteme, auf die der Angreifer mit den gestohlenen Zugangsdaten zugreifen konnte, waren unsere Atlassian-Umgebung. Basierend auf den Wiki-Seiten, die sie aufgerufen haben, Fehlerdatenbanken und Quellcode-Repositories, scheinen sie nach Informationen über die Architektur, Sicherheit und das Management unseres globalen Netzwerks gesucht zu haben“, so Cloudflare.