Attacchi e accessi non autorizzati tramite violazione di Okta
Il fatto:
In un fatto recentemente comunicato, Cloudflare è emersa come vittima di una vasta campagna di approvvigionamento di Okta, subendo una significativa violazione dei dati che ha colpito le sue piattaforme principali – Atlassian Bitbucket, Confluence e Jira. L’attacco si è verificato il giorno del Ringraziamento, rivelando una sofisticata intrusione informatica orchestrata da un attore di uno stato-nazione. Cloudflare, un attore di rilievo nella sicurezza su internet e nella protezione DDoS, ha dettagliato l’incidente in un recente post sul suo blog.
Incident Overview:
Cloudflare ha collaborato con esperti di sicurezza informatica di CrowdStrike per analizzare l’attacco. I criminali informatici, dopo una ricognizione iniziale, hanno avuto accesso alle piattaforme interne di Confluence e Jira di Cloudflare.
Successivamente, hanno stabilito la loro persistenza sul server di Atlassian, studiando e avendo accesso al sistema di gestione del codice sorgente di Cloudflare (Bitbucket) e un’istanza AWS.
Gli attaccanti hanno dimostrato di avere come chiaro obiettivo l’ottenere informazioni sulla configurazione e gestione della rete globale di Cloudflare.
Ciò ha coinvolto l’infiltrazione di vari ticket Jira correlati alla gestione delle vulnerabilità, rotazione di segreti, bypass dell’MFA, accesso alla rete e persino la risposta di Cloudflare all’incidente di Okta stesso.
Accesso limitato e misure proattive:
Mentre gli assalitori sono riusciti ad accedere a alcuni documenti e a una quantità limitata di codice sorgente, Cloudflare ha riportato che le loro robuste misure di sicurezza hanno impedito la compromissione dei dati o dei sistemi dei clienti. In particolare, la segmentazione di rete e l’implementazione di un approccio di autenticazione zero-trust hanno svolto un ruolo cruciale nel limitare i lateral movements.
Come risposta precauzionale, Cloudflare ha avviato uno sforzo completo, ruotando oltre 5.000 credenziali di produzione, suddividendo fisicamente i sistemi di test e staging, effettuando triage forensi su 4.893 sistemi e riavviando ogni macchina nella loro rete globale. Questo approccio meticoloso mira a garantire l’eliminazione di qualsiasi minaccia persistente che dovesse essere ancora presente e a garantire l’integrità dei loro sistemi.
Correlazione con la compromissione di Okta:
L’incidente presso Cloudflare è collegato al più ampio attacco alla campagna di approvvigionamento correlata ad Okta. A ottobre, Okta ha rivelato una compromissione del suo sistema di gestione dei casi di supporto clienti. Cloudflare ha rivelato che gli attaccanti hanno sfruttato i token di accesso e le credenziali dell’account di servizio ottenuti durante la compromissione di Okta nell’ottobre 2023.
In sintesi:
La risposta proattiva di Cloudflare, la collaborazione con esperti di sicurezza informatica e la trasparenza nel divulgare l’incidente riflettono le sfide in evoluzione che le organizzazioni affrontano nel panorama delle minacce attuale.
La natura interconnessa degli attacchi alla catena di approvvigionamento sottolinea l’importanza di una vigilanza collettiva dell’industria e di robuste misure di sicurezza informatica per proteggersi dalle minacce degli stati-nazione e garantire la resilienza delle reti globali.
