Компания Cloudflare, предоставляющая сеть доставки контента, обслуживающую примерно 20% интернет-трафика, опубликовала отчёт о взломе одного из серверов в своей инфраструктуре, на котором функционировал внутренний wiki-сайт на базе платформы Atlassian Confluence, система отслеживания ошибок Atlassian Jira и репозитории Bitbucket. Разбор показал, что атакующий смог получить доступ к серверу, воспользовавшись токенами, полученными в результате октябрьского взлома компании Okta, приведшего к утечке данных из платформы, используемой службой поддержки.
После раскрытия осенью информации о взломе Okta, компания Cloudflare инициировала процесс обновлений используемых через сервисы Okta учётных данных, ключей и токенов, но как оказалось один токен и три учётных записи (из нескольких тысяч), скомпрометированные в результате взлома Okta, не были заменены и продолжали действовать, чем и воспользовался атакующий. Указанные учётные данные считались неиспользуемыми, но на деле позволяли получить доступ к платформе Atlassian, системе управления кодом Bitbucket, SaaS-приложению, имеющему административный доступ к окружению Atlassian Jira, и окружению в AWS, обслуживающий каталог Cloudflare Apps, но имеющему доступ к инфраструктуре CDN и не хранящему конфиденциальных данных.
Инцидент не затронул данные и системы пользователей Cloudflare. Проведённый аудит определил, что атака ограничилась системами с продуктами Atlassian и не распространилась на другие серверы, благодаря применению в Cloudflare модели с нулевым доверием (Zero Trust) и изоляции частей инфраструктуры.
Взлом сервера Cloudflare был выявлен 23 ноября, а первые следи несанкционированного доступа к wiki и системе отслеживания ошибок зафиксированы 14 ноября. 22 ноября атакующим был установлен бэкдор для получения постоянного доступа, созданный при помощи ScriptRunner для Jira. В тот же день атакующий получил доступ к системе управления исходными текстами, в которой использовалась платформа Atlassian Bitbucket. После этого была предпринята подключения к консольному серверу, используемому для доступа к ещё не введённому в строй датацентру в Бразилии, но все попытки подключения оказались неудачными.
Судя по всему активность атакующего ограничилась изучением архитектуры сети доставки контента и поиском слабых мест. В ходе своей деятельности атакующий использовал поиск в wiki по ключевым словам, связанным с удалённым доступом, секретами, openconnect, cloudflared и токенами. Зафиксировано открытие злоумышленником 202 wiki-страниц (из 194100) и 36 отчётов о проблемах (из 2059357), связанных с управления устранением уязвимостей и ротацией ключей. Также выявлена загрузка 120 репозиториев с кодом (из 11904), большинство из которых связаны с резервным копированием, настройкой и управлением CDN, системами идентификации, удалённым доступом и использованием платформ Terraform и Kubernetes. В некоторых из репозиториев присутствовали оставленные в коде зашифрованные ключи, которые были заменены сразу после инцидента, несмотря на использование надёжных методов шифрования.