Cloudflare遭遇国家级攻击：76个代码库被盗

关键要点

• Cloudflare于2月1日报告，其Atlassian系统遭到了国家级攻击。
• 攻击者利用Okta泄露的凭据，自11月中旬开始针对Cloudflare系统。
• 攻击涉及76个代码库，主要与备份、全球网络配置、身份管理和使用Terraform及Kubernetes相关。
• 专家表示，此次事件凸显了第三方风险管理的复杂性，并呼吁企业加强相关安全措施。

Cloudflare在2月1日披露，其Atlassian系统遭到了一次国家级攻击，这起事件源于去年秋季的Okta数据泄露。攻击者从11月中旬开始利用在Okta泄露的凭据开始对Cloudflare的系统进行攻击，而这些凭据原本应该进行轮换。

Cloudflare的研究人员在一篇中表示：“不幸的是，我们未能轮换掉一个服务令牌和三个服务帐户（数以千计的凭证中）在Okta泄露期间被暴露。”

据Cloudflare的研究人员透露，从11月14日至17日，攻击者访问了Cloudflare的“内部维基”，这使用了AtlassianConfluence，以及该云服务提供商的漏洞数据库——Atlassian Jira。

研究人员指出，攻击者在11月22日再次进入Cloudflare的Atlassian服务器，利用Jira的ScriptRunner建立了访问其源代码管理系统的权限。接下来的24小时内，攻击者查看了120个代码库，并在76个库中使用了AtlassianBitbucket的Git归档功能，将其下载到Atlassian服务器上。

研究人员表示：“尽管我们无法确认这些代码库是否被外泄，但我们决定将其视为已被外泄。”他们补充道：“这76个源代码库几乎都涉及备份工作、全球网络如何配置和管理、Cloudflare的身份管理、远程访问，以及我们对Terraform和Kubernetes的使用。”

CrowdStrike公司被请来协助处理此次事件，并确认最后一次的威胁活动证据出现在11月24日10:44 UTC。

76个代码库的损失意味着什么？

对76个代码库的损失感到担忧，Interpres Security的首席战略官PatArvidson指出。Arvidson表示，遭到国家级攻击意味着攻击者资源丰富，能够对这些代码库进行长期分析。

“预防胜于治疗，”Arvidson说道。“如果此次泄露从未发生，那将是更好的。”国家级攻击者可能正在仔细分析这些代码库，寻找零日漏洞，或试图将其重新插入供应链中并安置后门。

Bambenek Consulting的总裁JohnBambenek补充说，Cloudflare在报告中展现了极大的透明度，显示了其响应的强大要素，并承担了导致此次泄露的那次轮换凭证的失误责任。

“这凸显了组织需要关注第三方风险的普遍需求，以及如何真正实施防火墙来防止这些第三方的妥协传播到其他组织是多么困难。”Bambenek解释道。“虽然发现妥协的时间长达九天并不算好，但攻击者的慢性而细致的方法无疑使事情变得更复杂。值得鼓舞的是，Cloudflare承认了这些失误，并提出了如何在未来进一步保护其环境的改变方案。”