Cloudflare, la célèbre entreprise d’infrastructure web, a été la cible d’une cyberattaque présumée orchestrée par un groupe de hackers. L’incident, qui a été découvert entre le 14 et le 24 novembre 2023, a permis aux attaquants d’accéder de manière non autorisée à leur serveur Atlassian, obtenant un accès à certains documents et à une quantité limitée de code source.

Cloudflare a détecté l’intrusion le 23 novembre, décrivant l’acteur de la menace comme « sophistiqué » et qui « a agi de manière réfléchie et méthodique » dans le but d’obtenir un accès persistant et généralisé au réseau mondial de la société.

Mesures de précaution adoptées

En guise de mesure de précaution, Cloudflare a annoncé avoir fait tourner plus de 5 000 identifiants de production, avoir physiquement segmenté les systèmes de test et d’essai, réalisé des triages forensiques sur 4 893 systèmes, et réinitialisé chaque machine à travers son réseau mondial.

L’attaque a impliqué une période de reconnaissance de quatre jours pour accéder aux portails Atlassian Confluence et Jira. Ensuite, l’adversaire a créé un faux compte utilisateur Atlassian et établi un accès persistant à leur serveur Atlassian pour finalement accéder à leur système de gestion de code source Bitbucket à travers le cadre de simulation d’adversaires Sliver.

Portée de l’accès non autorisé

On estime que l’attaquant a visualisé jusqu’à 120 dépôts de code, dont 76 sont censés avoir été exfiltrés. Ces dépôts contenaient principalement des informations liées aux procédures de sauvegarde, de configuration et de gestion du réseau mondial, d’identité chez Cloudflare, d’accès à distance et à l’utilisation de Terraform et de KubernetesKubernetes (communément appelé en anglais « K8s ») ….

Cloudflare a affirmé que « un petit nombre de dépôts contenaient des secrets cryptés, lesquels ont été immédiatement tournés malgré leur cryptage robuste».

L’acteur de la menace a également tenté, sans succès, d’accéder à un serveur de console qui avait accès au centre de donnéesUn centre de données ou centre de traitement de données (CPD) … que Cloudflare n’avait pas encore mis en production à São Paulo, Brésil.

Vulnérabilité exploitée et réponse de Cloudflare

L’attaque a été facilitée par l’utilisation d’un jeton d’accès et de trois identifiants de compte de service associés à Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks et Smartsheet, qui ont été dérobés suite au piratage du système de gestion de cas d’assistance d’Okta en octobre 2023. Cloudflare a admis ne pas avoir fait tourner ces identifiants, supposant à tort qu’ils n’étaient pas utilisés.

La compagnie a également pris des mesures pour terminer toutes les connexions malveillantes initiées par l’acteur de la menace le 24 novembre 2023 et a engagé la firme de cybersécurité CrowdStrike pour réaliser une évaluation indépendante de l’incident.

Cloudflare réaffirme que le seul système de production auquel l’acteur de la menace a pu accéder en utilisant les identifiants volés était son environnement Atlassian. En se basant sur l’analyse des pages wiki accédées, des problèmes de la base de données d’erreurs et des dépôts de code source, il semble qu’ils cherchaient des informations sur l’architecture, la sécurité et la gestion de leur réseau mondial.

source: The Hacker news