Cloudflare im Nov. 2023 gehackt

Sicherheit (Pexels, allgemeine Nutzung)[English]Das US-Unternehmen Cloudflare, welches ein CDN, Sicherheitsdienste und DNS-Dienste bereitstellt, wurde im November 2023 gehackt. Die Angreifer konnten durch ein Authentifizierungstoken auf einen Atlassian-Server zugreifen und dort auf das Confluence-Wiki, die Jira-Fehlerdatenbank und das Bitbucket-Quellcodeverwaltungssystem zugreifen. Es wird davon ausgegangen, dass es sich um staatliche Hacker handelt, die für den Angriff verantwortlich sind.


Anzeige

Was macht Cloudflare?

Das US-Unternehmen Cloudflare bietet zahlreiche Dienste rund um das Internet an. Von Cloudflare werden ein Content Delivery Network, Internetsicherheitsdienste und verteilte DNS-Dienste (Domain Name System) bereitgestellt. Das Content Deliveriy Network liefert dann z.B. Webseiten eines Hosting-Anbieters aus, wenn ein Besucher eine Webseite abruft.

Hack im November 2023

Das Unternehmen Cloudflare, über dessen Infrastruktur viele Webseiten ausgeliefert werden, hat in dieser Mitteilung bekannt gegeben, dass man im November 2023 Opfer eines Cyberangriffs geworden sei. Daten von Kunden seien keine betroffen, versichert das Unternehmen, welches den Fall inzwischen forensisch aufbereitet hat.

Am 23. November 2023, Thanksgiving Day, entdeckte Cloudflare einen Bedrohungsakteur auf seinem selbst gehosteten Atlassian-Server. Das interne Sicherheitsteam leitete sofort eine Untersuchung ein, und sperrte den Zugang des Bedrohungsakteurs. Am Sonntag, den 26. November 2023, zogen man dann das Forensik-Team von CrowdStrike hinzu, um eine eigene, unabhängige Analyse durchzuführen. CrowdStrike seine Untersuchung abgeschlossen, so dass die Details in einem Blog-Beitrag veröffentlicht werden.

Okta-Kompromittierung und Zugangstoken

Im Oktober 2023 hatte ich im Blog-Beitrag Okta Support-System mit gestohlenen Credentials gehackt beschrieben, dass der Anbieter von Authentifizierungsdiensten in der Cloud, Okta, gehackt worden war. Dessen Support-System wurde mittels gestohlener Credentials kompromittiert. Der Hack betraf auch 1Passwort (siehe Okta Support-Hack betrifft auch 1Passwort-Konto).


Anzeige

Aus dem Okta-Hack haben die Angreifer wohl ein Zugangstoken für den Cloudflare-Zugriff auf den Atlassian-Server erbeutet. Die Angreifer nutzten dieses Zugangstoken und drei Dienstkontenanmeldeinformationen aus der Okta-Kompromittierung vom Oktober 2023 für den Hack. Cloudflare war es wohl nicht gelungen, diese Zugangstoken nach dem Okta-Hack zu tauschen.

Zugriff auf den Atlassian-Server

Nach der forensischen Analyse verschaffte sich ein Bedrohungsakteur zwischen dem  14. bis 17. November 2023 einen Überblick und griff dann auf das interne Cloudflare Wiki zu. Diese verwendet Atlassian Confluence. Weiterhin finden Zugriffe auf die Fehlerdatenbank (Atlassian Jira) statt.  Am 20. und 21. November 2023 konnten die Forensiker weitere Zugriffe feststellen. Es wird vermutet, das es zum Testen des Zugriffs geschah, um sicherzustellen, dass eine Verbindung hergestellt werden konnte.

Am 22. November 2023 richteten die Angreifer mithilfe von ScriptRunner für Jira einen dauerhaften Zugriff auf den Atlassian-Server ein. Dann verschafften sich die Angreifer Zugang zum Cloudfaler Quellcode-Verwaltungssystem (das Atlassian Bitbucket verwendet) und versuchten erfolglos, auf einen Konsolenserver zuzugreifen, der zwar Zugriff auf das Datenzentrum hatte. Aber Cloudflare hatte dieses Rechenzentrum in São Paulo, Brasilien, noch nicht in Betrieb genommen.

Am 23. November 2023 fiel der Angriff auf und es wurden Maßnahmen eingeleitet, um den Bedrohungsakteur auszusperren. Laut der Analyse von CrowdStrike sind alle Zugriffe und Verbindungen der Bedrohungsakteure seit dem 24. November beendet. Der letzte Nachweis von Aktivitäten erfolgte am 24. November um 10:44 Uhr Ortszeit.

Weitere Details zur Analyse und des Angriffs lassen sich im Cloudflare-Blog-Beitrag abrufen. Cloudflare geht davon aus, dass bei diesem Sicherheitsvorfall mutmaßlich staatlich gesponsorte Hacker beteiligt waren. Das schließt man aus der überlegten und methodischen Vorgehensweise.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Antworten zu Cloudflare im Nov. 2023 gehackt

  1. mw sagt:

    "staatlich gesponserte Hacker" oder wie Cloudflare schreibt "Based on our collaboration with colleagues in the industry and government, we believe that this attack was performed by a nation state attacker". Ich vermute mal, das haben die sich aus dem Hintern gezogen, um von sich in besserem Licht darzustellen. Ohne jegliche Angabe von Gründen für diese These, ist das völlig wertlos und frei erfunden. Auch ganz gewöhnliche Kriminelle gehen überlegt und methodisch vor.

  2. Fritz sagt:

    Ich lerne drei Dinge:

    1. Wenn man Fremdprodukte einsetzt (Okta, Atlassian) kann man nicht zwingend davon ausgehen, daß die den gleichen Anspruch an Sicherheit erfüllen, den man an sich selbst hat. Das ist keine Paranoia, sondern gesundes Mißtrauen (oder als Buzzword "Zero Trust") und resultiert in entsprechender Architektur (isolierter Bereich, Monitoring der Aktivität, niedrigstmögliche Rechte und wenigstmögliche Schnittstellen). Egal, welche Reputation der Anbieter der Fremdsoftware hat.

    2. Sachen die nicht zum Kerngeschäft gehören kann man auch auslagern. So wie CF seinen App-Marketplace nicht in die eigene Cloud, sondern zu AWS geschoben hat. Auch da möglichst wenig Verbindungen, wenn ich also z.B. einen Webshop zum Verkauf von Ersatzteilen habe, hat der keinen direkten Durchgriff auf meine Lager-Datenbank, sondern bekommt allenfalls täglich einen Export unidirektional zum Import. Ähnlich mit Servern für Firmware-Updates usw. Das muß nicht im eigenen Netz liegen – auch wenn es manchmal etwas unbequem ist.

    3. Umfangreiche Dokumentation der Rechte. Wenn ein Kollege was bastelt und dafür Accounts mit bestimmten Rechten anlegt, darf der andere nicht davon ausgehen, daß sie nicht aktiv sind, nur weil der Test noch nicht produktiv ist. So kam es ja zu den "nicht rotierten Service-Token" nach der Okta-Geschichte.

    Meinen Respekt übrigens zu der Timeline. Nur fünfzehn Minuten, nachdem das automatisierte Monitoring festgestellt hatte, daß der Smartsheet-Account in die Administrator-Gruppe aufgenommen wurde (und daß das überhaupt gemonitored wurde) hat sich ein Mensch (!) das Ticket angeschaut und festgestellt, daß da was nicht stimmt.

    Der Rest nach dem "Code Red" war für einen Secutity-Spezialisten wie Cloudflare sicher eher Handwerk, aber auch hier Respekt und Dank, daß es (trotz möglicher Peinlichkeit) so offen und detailreich kommuniziert wird.

  3. Anonym sagt:

    Da Cloudflare von zig Unternehmen verwendet wird, ist das ein GAU auch für die deutsche IT Welt, inkl. und insbesondere KRITIS. Mal sehen, wann/ob sich das BSI dazu äussert oder ob die Meldung kaum beachtet schmallippig begraben wird.

  4. AuchDuGrüneBohne sagt:

    equipment in the Brazil data center was returned to the manufacturers

    Das macht man aber auch nur, wenn Laufwerke wechseln und neu auspielen von Linux nicht reicht. Dachten die da könnte was ins UEFI migriert sein auf die NOR SPI Chips? Haha, heilige Maria!

  5. Mario sagt:

    "Zugangstoken" sind das neue Flash…
    In der Schweiz gabs auch noch ein Datenleck:
    Cyberangriff betrifft eine Million Schweizer Hobby-Sportler – das wissen wir
    Wenn es da um ein Backup ging, war es scheinbar nicht verschlüsselt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.