Cloudflare angegriffen: Anmeldeinformationen für böswilligen Zugriff verwendet
Vor kurzem hat Cloudflare, ein bekannter Netzwerkriese, eine Sicherheitsverletzung bekannt gegeben, die Ende November aufgetreten ist und bei der Bedrohungsakteure gestohlene Passwörter ausnutzen um unbefugten Zugang zu sensiblen Informationen und Systemen zu erhalten. Führungskräfte des Unternehmens teilten mit, dass sich ein mutmaßlicher Angreifer aus einem nationalen Staat unbefugten Zugang zu den Systemen von Cloudflare verschafft hat, indem er Anmeldedaten von Okta, einem großen Anbieter von Einzelanmeldungen, gestohlen hat. Die Cloudflare-Verletzung Vorfall, der am Thanksgiving Day entdeckt wurde, führte zu einer sofortigen Untersuchung und Reaktion des Sicherheitsteams von Cloudflare.
Diebstahl von Zugangsdaten bei Cloudflare-Vorfall
Die Cloudflare-Sicherheitsvorfall ereignete sich, als Cloudflare einen Bedrohungsakteur auf seinem selbst gehosteten Atlassian-Server identifizierte. Das Sicherheitsteam leitete umgehend eine Untersuchung ein und schnitt den Zugang des Angreifers ab. Am 26. November wurde das Forensik-Team von CrowdStrike mit der Durchführung einer unabhängigen Analyse beauftragt.
Die Untersuchung ergab, dass der Bedrohungsakteur vom 14. bis 17. November Erkundungen durchführte und auf interne Systeme wie das interne Wiki und die Fehlerdatenbank des Unternehmens zugriff. Der Hacker kehrte am 20. und 21. Novemberzurück und infiltrierte erfolgreich das Quellcode-Verwaltungssystem von Cloudflare.
Es wurde festgestellt, dass die gestohlenen Anmeldedaten, die bei diesem Angriff verwendet wurden, bei einem weithin bekannten Einbruch bei Okta im Oktober erlangt wurden.
Cloudflare wurde angegriffen - Art des Angriffs
Der CEO von Cloudflare, Matthew Prince, betonte die Ernsthaftigkeit des Vorfalls trotz seiner begrenzten betrieblichen Auswirkungen. Der Angreifer, der als nationalstaatlicher Akteur identifiziert wurde, hatte das Ziel, dauerhaften und weitreichenden Zugang zum globalen Netzwerk von Cloudflare zu erhalten. Das Unternehmen hat sofort Maßnahmen ergriffen, um den weiteren Zugriff des Angreifers auf andere Systeme zu verhindern.
Reaktion auf Cloudflare-Verletzung
Um die Sicherheit seiner Systeme zu gewährleisten, leitete Cloudflare umfassende Maßnahmen ein, um jeglichen dauerhaften Zugang zu eliminieren, den die Hacker gehabt haben könnten. Die in Zusammenarbeit mit CrowdStrike durchgeführte Untersuchung ergab, dass der Angreifer Informationen über die Architektur, Sicherheit und Verwaltung des globalen Netzwerks von Cloudflare suchte.
Als Teil seiner Reaktion hat Cloudflare etwa 5.000 Produktionsanmeldeinformationen ausgetauscht und Test- und Staging-Systeme physisch segmentiert. Diese Maßnahmen wurden eingeführt, um jeden Versuch des Angreifers zu vereiteln, technische Informationen über den Betrieb des Netzwerks auszunutzen. Darüber hinaus ersetzte das Unternehmen die Hardware in einem Rechenzentrum in São Paulo, wo der Hacker versucht hatte böswilligen Zugriff auf Cloudflare-Dienste.
Überlegungen zum Engagement von Okta
Die Website gestohlenen Anmeldedaten Cyberangriff hat die Kritik an Okta wegen des Umgangs mit der Sicherheitsverletzung vom Oktober, bei der unbefugter Zugriff auf Cloudflare Dateien von 134 Okta-Kunden erfolgte. Cloudflare und andere Sicherheitsunternehmen äußerten ihre Unzufriedenheit über die verspätete Reaktion von Okta auf den Vorfall. Cloudflare betonte, wie wichtig eine rechtzeitige und verantwortungsvolle Offenlegung nach der Feststellung von Sicherheitsverletzungen ist.
Cloudflare hatte bereits im März 2022 einen Einbruch erlebt, der auf eine Kompromittierung der Systeme von Okta zurückzuführen war. In diesem Fall verhinderten jedoch die robusten Sicherheitsmaßnahmen von Cloudflare, einschließlich der Verwendung von harten Schlüsseln für die Multi-Faktor-Authentifizierung, jeglichen Zugriff des Bedrohungsakteurs auf ihre Systeme oder Daten.
Lehren aus den Angriffen auf Cloudflare
Cloudflare bestätigte die ausgeklügelte Natur der Cloudflare-Datensicherheitsverletzungund betonte die Notwendigkeit ständiger Wachsamkeit gegenüber nationalstaatlichen Akteuren. Die proaktiven Maßnahmen des Unternehmens, wie z. B. die Rotation von Anmeldeinformationen und der Austausch von Hardware, zeigen, dass es sich verpflichtet hat, seine Sicherheitslage zu verbessern. Web-Sicherheit nach Cloudflare-Verletzung erfordert verstärkte Wachsamkeit und proaktive Maßnahmen um potenzielle Risiken zu minimieren.
In Anbetracht des Vorfalls bekräftigte Cloudflare, wie wichtig ein schnelles und verantwortungsvolles Handeln nach einer Verletzung. Die Haltung des Unternehmens unterstreicht die Notwendigkeit der Zusammenarbeit zwischen der Industrie und der Regierung, um die Herausforderungen der Cybersicherheit wirksam anzugehen.
Schlussfolgerung
Die Verletzung der Cybersicherheit bei Cloudflare ist eine Erinnerung an die sich entwickelnde Bedrohungslandschaft und an die Bedeutung von robusten Cybersicherheitsmaßnahmen. Da Unternehmen weiterhin mit ausgeklügelten Angriffen konfrontiert sind, sind Zusammenarbeit, Transparenz und proaktive Sicherheitsmaßnahmen entscheidend für den Schutz sensibler Daten und die Aufrechterhaltung der Geschäftskontinuität. Die Erfahrung von Cloudflare unterstreicht die Notwendigkeit für Unternehmen, wachsam zu bleiben und ihre Cybersicherheitsstrategien kontinuierlich zu verbessern, um neuen Bedrohungen einen Schritt voraus zu sein.
Zu den Quellen für diesen Beitrag gehören Artikel in den Hacker-Nachrichten und Bleeping Computer.