[English]Das US-Unternehmen Cloudflare, welches ein CDN, Sicherheitsdienste und DNS-Dienste bereitstellt, wurde im November 2023 gehackt. Die Angreifer konnten durch ein Authentifizierungstoken auf einen Atlassian-Server zugreifen und dort auf das Confluence-Wiki, die Jira-Fehlerdatenbank und das Bitbucket-Quellcodeverwaltungssystem zugreifen. Es wird davon ausgegangen, dass es sich um staatliche Hacker handelt, die für den Angriff verantwortlich sind.
Anzeige
Was macht Cloudflare?
Das US-Unternehmen Cloudflare bietet zahlreiche Dienste rund um das Internet an. Von Cloudflare werden ein Content Delivery Network, Internetsicherheitsdienste und verteilte DNS-Dienste (Domain Name System) bereitgestellt. Das Content Deliveriy Network liefert dann z.B. Webseiten eines Hosting-Anbieters aus, wenn ein Besucher eine Webseite abruft.
Hack im November 2023
Das Unternehmen Cloudflare, über dessen Infrastruktur viele Webseiten ausgeliefert werden, hat in dieser Mitteilung bekannt gegeben, dass man im November 2023 Opfer eines Cyberangriffs geworden sei. Daten von Kunden seien keine betroffen, versichert das Unternehmen, welches den Fall inzwischen forensisch aufbereitet hat.
Am 23. November 2023, Thanksgiving Day, entdeckte Cloudflare einen Bedrohungsakteur auf seinem selbst gehosteten Atlassian-Server. Das interne Sicherheitsteam leitete sofort eine Untersuchung ein, und sperrte den Zugang des Bedrohungsakteurs. Am Sonntag, den 26. November 2023, zogen man dann das Forensik-Team von CrowdStrike hinzu, um eine eigene, unabhängige Analyse durchzuführen. CrowdStrike seine Untersuchung abgeschlossen, so dass die Details in einem Blog-Beitrag veröffentlicht werden.
Okta-Kompromittierung und Zugangstoken
Im Oktober 2023 hatte ich im Blog-Beitrag Okta Support-System mit gestohlenen Credentials gehackt beschrieben, dass der Anbieter von Authentifizierungsdiensten in der Cloud, Okta, gehackt worden war. Dessen Support-System wurde mittels gestohlener Credentials kompromittiert. Der Hack betraf auch 1Passwort (siehe Okta Support-Hack betrifft auch 1Passwort-Konto).
Anzeige
Aus dem Okta-Hack haben die Angreifer wohl ein Zugangstoken für den Cloudflare-Zugriff auf den Atlassian-Server erbeutet. Die Angreifer nutzten dieses Zugangstoken und drei Dienstkontenanmeldeinformationen aus der Okta-Kompromittierung vom Oktober 2023 für den Hack. Cloudflare war es wohl nicht gelungen, diese Zugangstoken nach dem Okta-Hack zu tauschen.
Zugriff auf den Atlassian-Server
Nach der forensischen Analyse verschaffte sich ein Bedrohungsakteur zwischen dem 14. bis 17. November 2023 einen Überblick und griff dann auf das interne Cloudflare Wiki zu. Diese verwendet Atlassian Confluence. Weiterhin finden Zugriffe auf die Fehlerdatenbank (Atlassian Jira) statt. Am 20. und 21. November 2023 konnten die Forensiker weitere Zugriffe feststellen. Es wird vermutet, das es zum Testen des Zugriffs geschah, um sicherzustellen, dass eine Verbindung hergestellt werden konnte.
Am 22. November 2023 richteten die Angreifer mithilfe von ScriptRunner für Jira einen dauerhaften Zugriff auf den Atlassian-Server ein. Dann verschafften sich die Angreifer Zugang zum Cloudfaler Quellcode-Verwaltungssystem (das Atlassian Bitbucket verwendet) und versuchten erfolglos, auf einen Konsolenserver zuzugreifen, der zwar Zugriff auf das Datenzentrum hatte. Aber Cloudflare hatte dieses Rechenzentrum in São Paulo, Brasilien, noch nicht in Betrieb genommen.
Am 23. November 2023 fiel der Angriff auf und es wurden Maßnahmen eingeleitet, um den Bedrohungsakteur auszusperren. Laut der Analyse von CrowdStrike sind alle Zugriffe und Verbindungen der Bedrohungsakteure seit dem 24. November beendet. Der letzte Nachweis von Aktivitäten erfolgte am 24. November um 10:44 Uhr Ortszeit.
Weitere Details zur Analyse und des Angriffs lassen sich im Cloudflare-Blog-Beitrag abrufen. Cloudflare geht davon aus, dass bei diesem Sicherheitsvorfall mutmaßlich staatlich gesponsorte Hacker beteiligt waren. Das schließt man aus der überlegten und methodischen Vorgehensweise.
Anzeige
"staatlich gesponserte Hacker" oder wie Cloudflare schreibt "Based on our collaboration with colleagues in the industry and government, we believe that this attack was performed by a nation state attacker". Ich vermute mal, das haben die sich aus dem Hintern gezogen, um von sich in besserem Licht darzustellen. Ohne jegliche Angabe von Gründen für diese These, ist das völlig wertlos und frei erfunden. Auch ganz gewöhnliche Kriminelle gehen überlegt und methodisch vor.
Ja das wird immer sofort behauptet in der Hoffnung das nicht raus kommt wer es wirklich war. Leider klappt das auch meistens, machmal aber auch nicht. Der Talk Talk Hack 2016 wurde als staatlich russisch gelabelt(von Heise und Konsorten) und dann waren es ein paar 16jährige aus der Nähe von London.
Quelle deiner Heise-Behauptung, bitte.
Die verschiedenen Akteure sind meistens über ihre verwendete Infrastruktur, Tools etc. identifizierbar.
Es wurde Sliver als Framework verwendet, was relativ neu ist und bisher nur von einer bekannteren Gruppe in einer Kampagne verwendet wurde:
https://attack.mitre.org/software/S0633/
APT29 ist ist bisher die einzige bekannte Gruppe, die nachgewiesen durch den Einsatz von Sliver aufgefallen ist.
https://attack.mitre.org/groups/G0016/
Ich lerne drei Dinge:
1. Wenn man Fremdprodukte einsetzt (Okta, Atlassian) kann man nicht zwingend davon ausgehen, daß die den gleichen Anspruch an Sicherheit erfüllen, den man an sich selbst hat. Das ist keine Paranoia, sondern gesundes Mißtrauen (oder als Buzzword "Zero Trust") und resultiert in entsprechender Architektur (isolierter Bereich, Monitoring der Aktivität, niedrigstmögliche Rechte und wenigstmögliche Schnittstellen). Egal, welche Reputation der Anbieter der Fremdsoftware hat.
2. Sachen die nicht zum Kerngeschäft gehören kann man auch auslagern. So wie CF seinen App-Marketplace nicht in die eigene Cloud, sondern zu AWS geschoben hat. Auch da möglichst wenig Verbindungen, wenn ich also z.B. einen Webshop zum Verkauf von Ersatzteilen habe, hat der keinen direkten Durchgriff auf meine Lager-Datenbank, sondern bekommt allenfalls täglich einen Export unidirektional zum Import. Ähnlich mit Servern für Firmware-Updates usw. Das muß nicht im eigenen Netz liegen – auch wenn es manchmal etwas unbequem ist.
3. Umfangreiche Dokumentation der Rechte. Wenn ein Kollege was bastelt und dafür Accounts mit bestimmten Rechten anlegt, darf der andere nicht davon ausgehen, daß sie nicht aktiv sind, nur weil der Test noch nicht produktiv ist. So kam es ja zu den "nicht rotierten Service-Token" nach der Okta-Geschichte.
Meinen Respekt übrigens zu der Timeline. Nur fünfzehn Minuten, nachdem das automatisierte Monitoring festgestellt hatte, daß der Smartsheet-Account in die Administrator-Gruppe aufgenommen wurde (und daß das überhaupt gemonitored wurde) hat sich ein Mensch (!) das Ticket angeschaut und festgestellt, daß da was nicht stimmt.
Der Rest nach dem "Code Red" war für einen Secutity-Spezialisten wie Cloudflare sicher eher Handwerk, aber auch hier Respekt und Dank, daß es (trotz möglicher Peinlichkeit) so offen und detailreich kommuniziert wird.
Da Cloudflare von zig Unternehmen verwendet wird, ist das ein GAU auch für die deutsche IT Welt, inkl. und insbesondere KRITIS. Mal sehen, wann/ob sich das BSI dazu äussert oder ob die Meldung kaum beachtet schmallippig begraben wird.
Hast du überhaupt verstanden was "gehackt" wurde?
Der hat nicht einmal den Verwendungszweck von Cloudflare kapiert.
Es wurde immer nur das gehackt, was rückhaltlos aufgeklärt und vollständig formuliert gegenüber der Öffentlichkeit zugegeben wurde, sonst ganz sicher nichts. Es besteht keine Gefshr für die Bevölkerung,, gehen Sie weiter… blitzdings.
Das macht man aber auch nur, wenn Laufwerke wechseln und neu auspielen von Linux nicht reicht. Dachten die da könnte was ins UEFI migriert sein auf die NOR SPI Chips? Haha, heilige Maria!
Wenn es die Serviceverträge hergeben (ich kann auch manche Sachen auf Verdacht zum Vorabaustausch zu HPE oder Cisco schicken) warum nicht?
Zumal (das sagt der nächste Satz) der Hersteller die Geräte dann auch gleich forensisch untersucht hat – möglicherweise wollte er die sogar zurück.
Da es ein Tausch war, sind letztendlich nur Versandkosten und Verwaltung angefallen.
Ach, achwas?
Simple Regel: Was technisch irgendwie möglich ist, wird von entspr. Akteueren auch gemacht.
Mach Sachen!
"Zugangstoken" sind das neue Flash…
In der Schweiz gabs auch noch ein Datenleck:
Cyberangriff betrifft eine Million Schweizer Hobby-Sportler – das wissen wir
Wenn es da um ein Backup ging, war es scheinbar nicht verschlüsselt.
Der Fall aus der Schweiz ist im Beitrag Cyberangriffe: Landratsamt Kelheim; Caritas-Klinik Dominikus in Berlin; Datenfunde im Darknet thematisiert. Philipp von inside-it.ch hat mich heute per E-Mail kontaktiert und darauf hingewiesen, nachdem er auf das Datenleck gestoßen ist.