Cloudflare meldt op 23 november 2023 een threat actor te hebben gedetecteerd op een zelf-gehoste Atlassian-server. Bij het incident zijn geen klantgegevens of -systemen getroffen. Ook had de aanval geen impact op de dienstverlening van Cloudflare. Het bedrijf vermoedt dat het een door een staat gesponsorde aanval betreft.
Dit melden CEO Matthew Prince, CTO John-Graham Cumming en Chief Security Officer Grant Bourzikas van Cloudflare in een blogpost, waarin zij de resultaten delen van een onderzoek uitgevoerd door het forensisch team van CrowdStrike. Het bedrijf meldt dat de aanvallers van 14 tot 17 november een verkenning uitvoerden, en daarbij zij toegang verkregen tot de interne wiki op basis van Atlassian Confluence en bugdatabase op basis van Atlassian Jira. Er zijn aanwijzingen dat de aanvallers op 20 en 21 november opnieuw aanwezig waren op de systemen, mogelijk om hun toegang te controleren.
De aanvallers keerden op 22 november terug en maakten toen gebruik van ScriptRunner for Jira voor het verkrijgen van persistente toegang tot de Atlassian-server van Cloudflare. Ook kregen zij toegang tot het managementsysteem voor broncode op basis van Atlassian Bitbucket. De aanvallers zouden daarnaast zonder succes geprobeerd hebben toegang te verkrijgen tot een consoleserver verbonden met een Cloudflare datacenter in het Braziliaanse São Paulo, dat nog niet in gebruik is genomen.
Bij de aanval maakten de aanvallers gebruik van een toegangstoken en inloggegevens van drie serviceaccounts. Cloudflare erkent deze per abuis sinds het cyberincident rond Okta in oktober 2023 niet meer te hebben gewijzigd. De toegang van de aanvallers is op 24 november definitief ontzegd, wat volgens Cloudflare ook is terug te zien in de analyse van CrowdStrike.
Het bedrijf meldt op basis van onderzoek in samenwerking met zowel andere marktpartijen als overheden dat de aanval vermoedelijk het werk is van een “nation state”. Met als doel het verkrijgen van persistente en brede toegang tot het wereldwijde netwerk van Cloudflare.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.