Cloudflare: accesso non autorizzato con token Okta

Cloudflare: accesso non autorizzato con token Okta

Cloudflare ha descritto in dettaglio l'intrusione ai suoi sistemi effettuata tra il 17 e il 23 novembre 2023, sfruttando il data breach di Okta.
Cloudflare: accesso non autorizzato con token Okta
Cloudflare ha descritto in dettaglio l'intrusione ai suoi sistemi effettuata tra il 17 e il 23 novembre 2023, sfruttando il data breach di Okta.

Cloudflare ha comunicato che ignoti cybercriminali sono riusciti ad accedere al suo server self-hosted Atlassian. Il team di sicurezza ha scoperto l’intrusione il 23 novembre 2023. Ciò è avvenuto utilizzando un token e le credenziali di tre account rubati durante il data breach subito da Okta il 20 ottobre 2023. L’azienda californiana ha pubblicato i dettagli dell’incidente al termine dell’indagine effettuata da CrowdStrike.

Accesso con token Okta

Cloudflare sottolinea innanzitutto che nessun sistema o dati dei clienti sono stati compromessi. L’architettura Zero Trust ha impedito il cosiddetto movimento laterale, ovvero l’intrusione in altri sistemi. Tra il 14 e il 17 novembre 2023, i cybercriminali hanno effettuato l’accesso al wiki interno Atlassian Confluence e al database dei bug Atlassian Jira.

Il 22 novembre è stato invece effettuato l’accesso al server Atlassian usando ScriptRunner for Jira e al sistema di gestione del codice sorgente (che usa Atlassian Bitbucket). I cybercriminali hanno tentato anche di accedere (tramite console) al data center non ancora attivo a San Paolo (Brasile), ma senza successo.

Gli esperti di CrowdStrike hanno scoperto che l’intrusione è avvenuta con un token e le credenziali di tre account che erano parte del data breach subito da Okta. Cloudflare non ha revocato il token e resettato le credenziali, in quanto ha pensato che non fossero utilizzati.

Il collegamento dei cybercriminali con il server è stato tagliato il 24 novembre 2023. Un team Code Red, creato il 27 novembre 2023, ha implementato nuove misure di sicurezza per evitare altri simili incidenti in futuro.

Fonte: Cloudflare
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 2 feb 2024
Link copiato negli appunti