Cloudflare a révélé aujourd’hui que son serveur Atlassian interne avait été piraté par un présumé « attaquant de l’État-nation » qui avait accédé à son wiki Confluence, à sa base de données de bogues Jira et à son système de gestion de code source Bitbucket.
L’auteur de la menace a d’abord eu accès au serveur Atlassian auto-hébergé de Cloudflare le 14 novembre, puis a accédé aux systèmes Confluence et Jira de l’entreprise après une étape de reconnaissance.
« Ils sont ensuite revenus le 22 novembre et ont établi un accès persistant à notre serveur Atlassian à l’aide de ScriptRunner pour Jira, ont eu accès à notre système de gestion de code source (qui utilise Atlassian Bitbucket) et ont essayé, sans succès, d’accéder à un serveur de console qui avait accès au centre de données que Cloudflare n’avait pas encore mis en production à São Paulo, au Brésil », a déclaré Matthew Prince, PDG de Cloudflare, John Graham-Cumming, directeur technique, et Grant Bourzikas, RSSI,
Pour accéder à ses systèmes, les attaquants ont utilisé un jeton d’accès et trois identifiants de compte de service volés lors d’une précédente compromission liée à la violation d’Okta d’octobre 2023 que Cloudflare n’a pas réussi à faire tourner (des milliers ont été divulgués lors de la compromission d’Okta).
Cloudflare a détecté l’activité malveillante le 23 novembre, a coupé l’accès du pirate informatique le matin du 24 novembre et ses spécialistes en criminalistique de la cybersécurité ont commencé à enquêter sur l’incident trois jours plus tard, le 26 novembre.
Tout en résolvant l’incident, le personnel de Cloudflare a alterné toutes les informations d’identification de production (plus de 5 000 uniques), segmenté physiquement les systèmes de test et de transfert, effectué un tri médico-légal sur 4 893 systèmes, réimaginé et redémarré tous les systèmes du réseau mondial de l’entreprise, y compris tous les serveurs Atlassian (Jira, Confluence et Bitbucket) et les machines accédées par l’attaquant.
Les auteurs de la menace ont également tenté de pirater le centre de données de Cloudflare à São Paulo—qui n’est pas encore utilisé en production—mais ces tentatives ont échoué. Tous les équipements du centre de données brésilien de Cloudflare ont ensuite été retournés aux fabricants pour s’assurer que le centre de données était sécurisé à 100%.
Les efforts de remédiation ont pris fin il y a près d’un mois, le 5 janvier, mais l’entreprise affirme que son personnel travaille toujours sur le renforcement des logiciels, ainsi que sur la gestion des informations d’identification et des vulnérabilités.
L’entreprise affirme que cette violation n’a pas eu d’impact sur les données ou les systèmes des clients de Cloudflare; ses services, ses systèmes de réseau mondiaux ou sa configuration n’ont pas non plus été affectés.
« Même si nous comprenons que l’impact opérationnel de l’incident est extrêmement limité, nous avons pris cet incident très au sérieux car un acteur de la menace avait utilisé des informations d’identification volées pour accéder à notre serveur Atlassian et avait accédé à une documentation et à une quantité limitée de code source », ont déclaré Prince, Graham-Cumming et Bourzikas.
« Sur la base de notre collaboration avec des collègues de l’industrie et du gouvernement, nous pensons que cette attaque a été réalisée par un attaquant d’État-nation dans le but d’obtenir un accès persistant et généralisé au réseau mondial de Cloudflare.
« En analysant les pages wiki auxquelles ils ont accédé, les problèmes de base de données de bogues et les référentiels de code source, il semble qu’ils recherchaient des informations sur l’architecture, la sécurité et la gestion de notre réseau mondial; sans doute dans le but de s’implanter plus profondément. »
Le 18 octobre 2023, l’instance Okta de Cloudflare a été piratée à l’aide d’un jeton d’authentification volé dans le système d’assistance d’Okta. Les pirates qui ont piraté le système d’assistance client d’Okta ont également eu accès aux fichiers appartenant à 134 clients, dont 1Password, BeyondTrust et Cloudflare.
Après l’incident d’octobre 2023, l’entreprise a déclaré que la réponse rapide de son équipe de réponse aux incidents de sécurité contenait et minimisait l’impact sur les systèmes et les données Cloudflare et qu’aucune information ou système client Cloudflare n’avait été affecté.
Une autre tentative de violation des systèmes de Cloudflare a été bloquée en août 2022 après que des attaquants ont tenté d’utiliser les informations d’identification des employés volées lors d’une attaque de phishing, mais ont échoué car ils n’avaient pas accès aux clés de sécurité conformes FIDO2 émises par l’entreprise des victimes.