WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Cloudflare bị tấn công do sử dụng mã xác thực đánh cắp từ vụ xâm nhập vào Okta
Cloudlflare cho biết rằng các máy chủ nội bộ của công ty Atlassian đã bị xâm nhập bởi một kẻ tấn công có thể do nhà nước bảo trợ để truy cập vào cơ sở dữ liệu Confluence wiki, Jira bug và hệ thống quản lý mã nguồn Bitbucket.
Kẻ xấu đã giành được quyền truy cập vào máy chủ Atlassian lưu trữ trên Cloudflare vào ngày 14/11/2023, các hệ thống Confluence và Jira của công ty sau một quá trình trinh sát.
Theo ban lãnh đạo của Cloudflare cho biết: “Tin tặc sau đó đã quay lại vào ngày 22/11 và thiết lập quyền truy cập lâu dài trên máy chủ Atlassian của chúng tôi sử dụng giải pháp ScriptRunner dành cho Jira, giành quyền truy cập vào hệ thống quản lý mã nguồn (có dùng Bitbucket của Atlassian) và thử để truy cập vào máy chủ bảng điều khiển mà có quyền truy cập vào trung tâm dữ liệu trên Cloudflare chưa đưa vào vận hành tại Sao Paolo, Brazil nhưng không thành công .
Để truy cập vào hệ thống, kẻ tấn công đã sử dụng một mã xác thực (token) và ba thông tin đăng nhập tài khoản dịch vụ đã bị đánh cắp trong một vụ xâm nhập vào Okta từ tháng 10/2023 mà Cloudflare đã không thể xoay vòng (trong số hàng nghìn mã bị rò rỉ).
Okta là công ty dịch vụ đám mây của Mỹ, hiện đang cung cấp dịch vụ đăng nhập một lần (SSO), xác thực đa yếu tố (MFA) và quản lý quyền truy cập API cho hàng nghìn tổ chức trên toàn thế giới.
Cloudflare đã phát hiện hành vi độc hại vào tháng 11/2023, cắt quyền truy cập của hacker vào sáng 24/11/2023 và các chuyên gia bắt đầu điều tra vụ việc 3 ngày sau đó. Trong quá trình này, nhân viên của Cloudflare đã xoay vòng tất cả các thông tin đăng nhập (hơn 5.000 thông tin duy nhất)
Các biện pháp giảm thiểu đã kết thúc một tháng sau đó nhưng các nhân viên vẫn tiếp tục việc rà soát thông tin và quản lý các lỗ hổng.
Công ty cho biết, vụ vi phạm không ảnh hưởng đến dữ liệu và hệ thống khách hàng của mình. Các dịch vụ, hệ thống mạng toàn cầu hoặc việc cấu hình của công ty cũng không bị ảnh hưởng.
Kẻ xấu đã giành được quyền truy cập vào máy chủ Atlassian lưu trữ trên Cloudflare vào ngày 14/11/2023, các hệ thống Confluence và Jira của công ty sau một quá trình trinh sát.
Theo ban lãnh đạo của Cloudflare cho biết: “Tin tặc sau đó đã quay lại vào ngày 22/11 và thiết lập quyền truy cập lâu dài trên máy chủ Atlassian của chúng tôi sử dụng giải pháp ScriptRunner dành cho Jira, giành quyền truy cập vào hệ thống quản lý mã nguồn (có dùng Bitbucket của Atlassian) và thử để truy cập vào máy chủ bảng điều khiển mà có quyền truy cập vào trung tâm dữ liệu trên Cloudflare chưa đưa vào vận hành tại Sao Paolo, Brazil nhưng không thành công .
Để truy cập vào hệ thống, kẻ tấn công đã sử dụng một mã xác thực (token) và ba thông tin đăng nhập tài khoản dịch vụ đã bị đánh cắp trong một vụ xâm nhập vào Okta từ tháng 10/2023 mà Cloudflare đã không thể xoay vòng (trong số hàng nghìn mã bị rò rỉ).
Okta là công ty dịch vụ đám mây của Mỹ, hiện đang cung cấp dịch vụ đăng nhập một lần (SSO), xác thực đa yếu tố (MFA) và quản lý quyền truy cập API cho hàng nghìn tổ chức trên toàn thế giới.
Cloudflare đã phát hiện hành vi độc hại vào tháng 11/2023, cắt quyền truy cập của hacker vào sáng 24/11/2023 và các chuyên gia bắt đầu điều tra vụ việc 3 ngày sau đó. Trong quá trình này, nhân viên của Cloudflare đã xoay vòng tất cả các thông tin đăng nhập (hơn 5.000 thông tin duy nhất)
Các biện pháp giảm thiểu đã kết thúc một tháng sau đó nhưng các nhân viên vẫn tiếp tục việc rà soát thông tin và quản lý các lỗ hổng.
Công ty cho biết, vụ vi phạm không ảnh hưởng đến dữ liệu và hệ thống khách hàng của mình. Các dịch vụ, hệ thống mạng toàn cầu hoặc việc cấu hình của công ty cũng không bị ảnh hưởng.
Theo Bleeping Computer