Cloudflare ha comunicato che ignoti cybercriminali sono riusciti ad accedere al suo server self-hosted Atlassian. Il team di sicurezza ha scoperto l’intrusione il 23 novembre 2023. Ciò è avvenuto utilizzando un token e le credenziali di tre account rubati durante il data breach subito da Okta il 20 ottobre 2023. L’azienda californiana ha pubblicato i dettagli dell’incidente al termine dell’indagine effettuata da CrowdStrike.
Accesso con token Okta
Cloudflare sottolinea innanzitutto che nessun sistema o dati dei clienti sono stati compromessi. L’architettura Zero Trust ha impedito il cosiddetto movimento laterale, ovvero l’intrusione in altri sistemi. Tra il 14 e il 17 novembre 2023, i cybercriminali hanno effettuato l’accesso al wiki interno Atlassian Confluence e al database dei bug Atlassian Jira.
Il 22 novembre è stato invece effettuato l’accesso al server Atlassian usando ScriptRunner for Jira e al sistema di gestione del codice sorgente (che usa Atlassian Bitbucket). I cybercriminali hanno tentato anche di accedere (tramite console) al data center non ancora attivo a San Paolo (Brasile), ma senza successo.
Gli esperti di CrowdStrike hanno scoperto che l’intrusione è avvenuta con un token e le credenziali di tre account che erano parte del data breach subito da Okta. Cloudflare non ha revocato il token e resettato le credenziali, in quanto ha pensato che non fossero utilizzati.
Il collegamento dei cybercriminali con il server è stato tagliato il 24 novembre 2023. Un team Code Red, creato il 27 novembre 2023, ha implementato nuove misure di sicurezza per evitare altri simili incidenti in futuro.