黑客利用 Okta 攻击中窃取到的授权令牌，攻击 Cloudflare

Bleeping Computer 网站消息， Cloudflare 透露其内部 Atlassian 服务器遭到一名疑似 "民族国家攻击者 "的网络入侵，威胁攻击者访问了 Confluence 维基、Jira 错误数据库和 Bitbucket 源代码管理系统。

11 月 14 日，威胁攻击者非法访问了 Cloudflare 自托管 Atlassian 服务器，然后又进入了 Cloudflare 公司的 Jira 系统。Cloudflare 首席执行官 Matthew Prince、首席技术官 John Graham-Cumming 和首席信息安全官 Grant Bourzikas 表示，11 月 22 日，威胁攻击者使用 Jira 的 ScriptRunner 对其 Atlassian 服务器建立起了持久访问，获得了对源代码管理系统（使用 Atlassian Bitbucket）的访问权限。威胁攻击者甚至尝试访问一个控制台服务器。（该服务器可以访问 Cloudflare 尚未投入生产的巴西圣保罗数据中心）

从后续披露的调查结果来看，为访问 Cloudflare 系统，威胁攻击者使用一个访问令牌和三个服务帐户凭据。据悉，这些凭据是某次 Okta 遭受网络攻击活动中流出的，Cloudflare 并未对凭据进行轮换更新。（Okta 入侵期间泄露了数千个凭据）。

11 月 23 日，Cloudflare 的安全研究人员检测到网络恶意活动，11 月 24 日上午切断了威胁攻击者的访问权限，三天后，Cloudflare 组织了大量网络安全专家开始调查该事件。处理该事件时，Cloudflare 的工作人员轮换了所有生产凭证（超过 5000 个唯一凭证），对测试和暂存系统进行了物理分割，对 4893 个系统进行了取证分流，重新映像和重启了包括所有 Atlassian 服务器（Jira、Confluence 和 Bitbucket）和攻击者访问的机器在内的全球网络上的所有系统。

2024 年1 月，Confluence 公司发布声明称，其员工目前仍在进行软件加固、凭证更新和漏洞管理，并指出此次网络攻击事件未影响 Cloudflare 的客户数据或系统，其服务、全球网络系统或配置也未受到影响。

Prince、Graham-Cumming 和 Bourzikas 表示，鉴于威胁者使用窃取的凭证入侵了 Cloudflare 的 Atlassian 服务器，并访问了一些文档和少量源代码，尽管知道此次事件对公司运营的影响极为有限，但还是非常重视此次事件。

值得一提的是， Cloudflare 方面认为威胁攻击者分析 Cloudflare 的维基页面、漏洞数据库问题和源代码库，似乎在寻找有关 Cloudflare 全球网络的架构、安全和管理的信息，毫无疑问，这些威胁攻击者的目标是获得更深的立足点。 Cloudflare 认为此次攻击活动由一个“民族国家攻击者 "实施，其目的是获得对 Cloudflare 全球网络的持久和广泛访问。

Cloudflare 遭受多次网络攻击

2023 年 10 月 18 日，Cloudflare 的 Okta 实例使用从 Okta 支持系统窃取的身份验证令牌被攻破，威胁攻击者成功入侵了 Okta 客户支持系统，并获取了属于包括 1Password、BeyondTrust 和 Cloudflare 等在内的 134 家客户的文件信息。

2023 年 10 月事件发生后， Cloudflare 公司表示，其安全事件响应小组已经做出快速反应，最大限度地减少了对 Cloudflare 系统和数据的影响，没有 Cloudflare 客户信息或系统受到影响。2022 年 8 月，威胁攻击者还曾试图使用在一次网络钓鱼攻击中窃取的员工凭证入侵 Cloudflare 系统，好在最终因无法访问受害者公司发放的符合 FIDO2 标准的安全密钥而失败。

参考文章：

https://www.bleepingcomputer.com/news/security/cloudflare-hacked-using-auth-tokens-stolen-in-okta-attack/