Американська компанія з кіберзахисту Cloudflare розкрила деталі інциденту, під час якого, ймовірно, хакери отримали доступ до внутрішньої системи Atlassian, використовуючи вкрадені дані в результаті порушення безпеки в Okta. Зазначимо, що масштабний експлойт відбувся торік у жовтні.

За інформацією Cloudflare, порушення в системі Atlassian було виявлено 23 листопада 2023 року, а вже наступного дня порушників було витіснено із системи. За словами представників компанії, атаку було здійснено з метою отримання постійного доступу до глобальної мережі Cloudflare.

Під час порушення безпеки Okta в жовтні, яке зачепило понад 130 клієнтів компанії, зловмисники вкрали дані з метою подальшого злому організацій. Cloudflare також постраждала від атаки. Зауважимо — Cloudflare використовує Okta як постачальника посвідчень, інтегрованого з Cloudflare Access, що дає змогу гарантувати користувачам безпечний доступ до внутрішніх ресурсів.

За словами Cloudflare, хакери отримали один сервісний токен і три набори облікових даних сервісних акаунтів через компрометацію Okta у 2023 році. Спочатку Okta стверджувала, що вкрадена інформація була відносно нешкідливою і могла використовуватися для фішингу або соціальної інженерії. Однак виявилося, що серед вкрадених даних були токени сесії, що дають змогу отримати доступ до мереж компаній на кшталт Cloudflare.

Зловмисники використовували вкрадені дані для доступу до систем Cloudflare, включно з внутрішнім вікі на базі Confluence і базою даних помилок Jira, у період з 14 по 17 листопада 2023 року. Подальші доступи були виявлені 20 і 21 листопада, після чого кіберзлочинці встановили постійну присутність на сервері Atlassian через ScriptRunner для Jira.

Інтерес шпигунів до секретів і токенів підтверджується також переглядом 120 репозиторіїв коду в Bitbucket із майже 12 000. Репозиторії здебільшого були пов’язані з принципами роботи резервного копіювання, конфігурацією та управлінням глобальної мережі, ідентифікацією, віддаленим доступом, а також Terraform і Kubernetes. За словами компанії CDN, деякі з них містили зашифровані секрети, і вони були негайно замінені, хоча і були надійно зашифровані.

Атаку було відбито 24 листопада 2023 року, після чого компанія почала оцінку збитків і розслідування інциденту.

Источник: noworries.news