ClickCease Cloudflare victime d'une intrusion : Les informations d'identification sont utilisées pour un accès malveillant

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Cloudflare victime d'une intrusion : Les informations d'identification sont utilisées pour un accès malveillant

Wajahat Raja

Le 16 février 2024 - L'équipe d'experts de TuxCare

Cloudflare, un important géant des réseaux, a récemment révélé une faille de sécurité survenue à la fin du mois de novembre. les acteurs de la menace exploitent des mots de passe volés pour obtenir un accès non autorisé à des informations et systèmes sensibles. Des cadres supérieurs de l'entreprise ont indiqué qu'un attaquant soupçonné d'appartenir à un État-nation avait obtenu un accès non autorisé aux systèmes de Cloudflare en utilisant des informations d'identification volées à Okta, un important fournisseur de services d'authentification unique. La faille de violation de Cloudflare détecté le jour de Thanksgiving a donné lieu à une enquête et à une réponse immédiates de la part de l'équipe de sécurité de Cloudflare.

 

Vol de données d'identification lors d'un incident chez Cloudflare


L'incident de sécurité
incident de sécurité de Cloudflare s'est déroulé lorsque Cloudflare a identifié un acteur menaçant sur son serveur Atlassian auto-hébergé. L'équipe de sécurité a rapidement lancé une enquête, coupant l'accès de l'attaquant. Par la suite, le 26 novembre, l'équipe Forensic de CrowdStrike a été engagée pour mener une analyse indépendante.

L'enquête a révélé que l'auteur de la menace a mené des opérations de reconnaissance du 14 au 17 novembre, accédant à des systèmes internes tels que le wiki interne de l'entreprise et la base de données des bogues. Le pirate est revenu les 20 et 21 novembreet a réussi à s'infiltrer dans le système de gestion du code source de Cloudflare.

Il a été découvert que les informations d'identification volées utilisées dans cette attaque avaient été obtenues lors d'une brèche largement médiatisée survenue en octobre chez Okta.


Cloudflare victime d'une brèche - Nature de l'attaque


Le PDG de Cloudflare, Matthew Prince, a souligné la gravité de l'incident malgré son impact opérationnel limité. L'attaquant, identifié comme un acteur étatique, avait pour objectif d'obtenir un accès persistant et généralisé au réseau mondial de Cloudflare. L'entreprise a pris des mesures immédiates pour empêcher l'acteur de la menace d'accéder à d'autres systèmes.


Réponse à la brèche de Cloudflare


Pour assurer la sécurité de ses systèmes, Cloudflare a mis en place une action globale pour éliminer tout accès persistant que les pirates auraient pu avoir. L'enquête, menée en collaboration avec CrowdStrike, a révélé que le pirate cherchait à obtenir des informations sur l'architecture, la sécurité et la gestion du réseau mondial de Cloudflare.

Dans le cadre de sa réponse, Cloudflare a procédé à la rotation d'environ 5 000 identifiants de production et a segmenté physiquement les systèmes de test et de préparation. Ces mesures ont été mises en œuvre pour contrecarrer toute tentative du pirate d'exploiter des informations techniques sur les opérations du réseau. En outre, la société a remplacé le matériel d'un centre de données à São Paulo, où le pirate a tenté d'obtenir un accès malveillant aux services Cloudflare. un accès malveillant aux services de Cloudflare.


Réflexion sur la participation d'Okta


Les
informations d'identification volées cyberattaque a ravivé les critiques à l'encontre d'Okta pour sa gestion de la violation d'octobre, où un accès non autorisé à Cloudflare avait été autorisé. accès non autorisé aux fichiers Cloudflare associés à 134 clients d'Okta. Cloudflare, ainsi que d'autres sociétés de sécurité, ont exprimé leur mécontentement face à la réponse tardive d'Okta à l'incident. Cloudflare a souligné l'importance d'une divulgation rapide et responsable après l'identification d'une brèche.

Cloudflare avait déjà connu une brèche en mars 2022, attribuée à une compromission des systèmes d'Okta. Cependant, dans ce cas, les mesures de sécurité robustes de Cloudflare, y compris l'utilisation de clés dures pour l'authentification multifactorielle, ont empêché l'acteur de la menace d'accéder à leurs systèmes ou à leurs données.


Leçons tirées des attaques de Cloudflare


Cloudflare a reconnu le caractère sophistiqué de la faille de sécurité des données de
atteinte à la sécurité des données de Cloudflareen soulignant la nécessité d'une vigilance constante à l'égard des acteurs étatiques. Les mesures proactives prises par l'entreprise, telles que la rotation des informations d'identification et le remplacement du matériel, témoignent de son engagement à renforcer son dispositif de sécurité. La sécurité du web après la faille de Cloudflare nécessite une vigilance accrue et des mesures proactives pour atténuer les risques potentiels.

À la lumière de cet incident, Cloudflare a réitéré l'importance d'une action rapide et responsable à la suite d'une violation. La position de l'entreprise souligne la nécessité d'une collaboration entre l'industrie et le gouvernement pour relever efficacement les défis de la cybersécurité.


Conclusion


La
violation de la cybersécurité chez Cloudflare nous rappelle l'évolution du paysage des menaces et l'importance de mesures de cybersécurité robustes. Alors que les entreprises continuent de faire face à des attaques sophistiquées, la collaboration, la transparence et des mesures de sécurité proactives sont indispensables. mesures de sécurité proactives sont essentielles pour protéger les informations sensibles et maintenir la continuité des activités. L'expérience de Cloudflare souligne la nécessité pour les organisations de rester vigilantes et d'améliorer continuellement leurs stratégies de cybersécurité pour garder une longueur d'avance sur les menaces émergentes.

Les sources de cet article comprennent des articles dans The Hacker News et Bleeping Computer.

Résumé
Cloudflare victime d'une intrusion : Les informations d'identification sont utilisées pour un accès malveillant
Nom de l'article
Cloudflare victime d'une intrusion : Les informations d'identification sont utilisées pour un accès malveillant
Description
Cloudflare a été victime d'une brèche, des acteurs menaçants ayant utilisé des informations d'identification volées. Découvrez l'incident, la réponse et les mesures de cybersécurité.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information