Cloudflare ha comunicato che ignoti cybercriminali sono riusciti ad accedere al suo server self-hosted Atlassian. Il team di sicurezza ha scoperto l’intrusione il 23 novembre 2023. Ciò è avvenuto utilizzando un token e le credenziali di tre account rubati durante il data breach subito da Okta il 20 ottobre 2023. L’azienda californiana ha pubblicato i dettagli dell’incidente al termine dell’indagine effettuata da CrowdStrike.
Accesso con token Okta
Cloudflare sottolinea innanzitutto che nessun sistema o dati dei clienti sono stati compromessi. L’architettura Zero Trust ha impedito il cosiddetto movimento laterale, ovvero l’intrusione in altri sistemi. Tra il 14 e il 17 novembre 2023, i cybercriminali hanno effettuato l’accesso al wiki interno Atlassian Confluence e al database dei bug Atlassian Jira.
Il 22 novembre è stato invece effettuato l’accesso al server Atlassian usando ScriptRunner for Jira e al sistema di gestione del codice sorgente (che usa Atlassian Bitbucket). I cybercriminali hanno tentato anche di accedere (tramite console) al data center non ancora attivo a San Paolo (Brasile), ma senza successo.
Gli esperti di CrowdStrike hanno scoperto che l’intrusione è avvenuta con un token e le credenziali di tre account che erano parte del data breach subito da Okta. Cloudflare non ha revocato il token e resettato le credenziali, in quanto ha pensato che non fossero utilizzati.
Il collegamento dei cybercriminali con il server è stato tagliato il 24 novembre 2023. Un team Code Red, creato il 27 novembre 2023, ha implementato nuove misure di sicurezza per evitare altri simili incidenti in futuro.
Ti potrebbe interessare
2 feb 2024