The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Компания Cloudflare раскрыла сведения о взломе одного из своих серверов

02.02.2024 13:13

Компания Cloudflare, предоставляющая сеть доставки контента, обслуживающую примерно 20% интернет-трафика, опубликовала отчёт о взломе одного из серверов в своей инфраструктуре, на котором функционировал внутренний wiki-сайт на базе платформы Atlassian Confluence, система отслеживания ошибок Atlassian Jira и система управления кодом Bitbucket. Разбор показал, что атакующий смог получить доступ к серверу, воспользовавшись токенами, полученными в результате октябрьского взлома компании Okta, приведшего к утечке токенов доступа.

После раскрытия осенью информации о взломе Okta, компания Cloudflare инициировала процесс обновлений используемых через сервисы Okta учётных данных, ключей и токенов, но как оказалось один токен и три учётных записи (из нескольких тысяч), скомпрометированные в результате взлома Okta, не были заменены и продолжали действовать, чем и воспользовался атакующий. Указанные учётные данные считались неиспользуемыми, но на деле позволяли получить доступ к платформе Atlassian, системе управления кодом Bitbucket, SaaS-приложению, имеющему административный доступ к окружению Atlassian Jira, и окружению в AWS, обслуживающему каталог Cloudflare Apps, но не имеющему доступ к инфраструктуре CDN и не хранящему конфиденциальных данных.

Инцидент не затронул данные и системы пользователей Cloudflare. Проведённый аудит определил, что атака ограничилась системами с продуктами Atlassian и не распространилась на другие серверы, благодаря применению в Cloudflare модели с нулевым доверием (Zero Trust) и изоляции частей инфраструктуры.

Взлом сервера Cloudflare был выявлен 23 ноября, а первые следы несанкционированного доступа к wiki и системе отслеживания ошибок зафиксированы 14 ноября. 22 ноября атакующим был установлен бэкдор для получения постоянного доступа, созданный при помощи ScriptRunner для Jira. В тот же день атакующий получил доступ к системе управления исходными текстами, в которой использовалась платформа Atlassian Bitbucket. После этого была предпринята попытка подключения к консольному серверу, используемому для доступа к ещё не введённому в строй датацентру в Бразилии, но все попытки подключения оказались неудачными.

Судя по всему активность атакующего ограничилась изучением архитектуры сети доставки контента и поиском слабых мест. В ходе своей деятельности атакующий использовал поиск в wiki по ключевым словам, связанным с удалённым доступом, секретами, openconnect, cloudflared и токенами. Зафиксировано открытие злоумышленником 202 wiki-страниц (из 194100) и 36 отчётов о проблемах (из 2059357), связанных с управлением устранением уязвимостей и ротацией ключей. Также выявлена загрузка 120 репозиториев с кодом (из 11904), большинство из которых связаны с резервным копированием, настройкой и управлением CDN, системами идентификации, удалённым доступом и использованием платформ Terraform и Kubernetes. В некоторых из репозиториев присутствовали оставленные в коде зашифрованные ключи, которые были заменены сразу после инцидента, несмотря на использование надёжных методов шифрования.

  1. Главная ссылка к новости (https://blog.cloudflare.com/th...)
  2. OpenNews: Платформа совместной разработки SourceHut была выведена из строя на 7 дней из-за DDoS-атаки
  3. OpenNews: Ошибка при настройке BGP привела к 27-минутному сбою в работе Cloudflare
  4. OpenNews: Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев
  5. OpenNews: Cloudflare, Tesla многие другие компании скомпрометированы через камеры наблюдения Verkada
  6. OpenNews: Уязвимость в cdnjs, позволившая выполнить код на серверах Cloudflare
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60542-cloudflare
Ключевые слова: cloudflare, hack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (47) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 13:52, 02/02/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +2 +/
     
  • 1.2, Агл (?), 14:07, 02/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    так вот из-за кого пришлось ключи обновлять чтобы bitbucket заработал
     
  • 1.3, Аноним (3), 14:12, 02/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Проблемы Cloudflare не вызывают сочувствия. Со включенным адблоком не пускает на множество сайтов пока не добавишь его в исключения. Может не понравится что угодно, давай вводи капчу, еще вводи и еще. Про Тор молчу, именно Cloudflare делает его повседневное использование почти невозможным. Постоянно натыкаюсь на региональные блоки, скоро по цвету кожи начнут фильтровать.Cloudflare - новый Big Evil современного интернета.
     
     
  • 2.4, OpenEcho (?), 14:26, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Cloudflare - новый Big Evil современного интернета.

    С чего это - "новый" ???

    Старый как мир, обыкновенная мышеловка, - дай халявы и мыши сами заберуться в мышеловку, а те что будут сопротивляться жрать халяву, сородичи затопчут

     
     
  • 3.37, Аноним (-), 05:21, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Старый как мир, обыкновенная мышеловка, - дай халявы и мыши сами заберуться в мышеловку,
    > а те что будут сопротивляться жрать халяву, сородичи затопчут

    Ты нифига не понял. Видя сыр в мышеловке надо просто отойти в сторонку и предоставить дело более нетерпеливой мышке. А услышав "бдыщ!" можно как раз идти забирать свой бесплатный сыр.

    Просто как обычно - бизнес хрены не сказали всю правду: бесплатный сыр достается только второй мышке.

     
     
  • 4.46, OpenEcho (?), 17:20, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Старый как мир, обыкновенная мышеловка, - дай халявы и мыши сами заберуться в мышеловку,
    >> а те что будут сопротивляться жрать халяву, сородичи затопчут
    > Ты нифига не понял. Видя сыр в мышеловке надо просто отойти в
    > сторонку и предоставить дело более нетерпеливой мышке. А услышав "бдыщ!" можно
    > как раз идти забирать свой бесплатный сыр.

    У них дядя на сырной фабрике работает, у них этого ~~гуталина~~ сыра на всех хватит, а в стороне стоит только мышелов, ну и дядя конечно же

     
  • 2.5, Аноним (5), 14:27, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Про Тор молчу, именно Cloudflare делает его повседневное использование почти невозможным.

    а зачем тебе тор в повседневном использовании?

     
     
  • 3.12, Аноним (12), 15:10, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    как же без торы то?
     
  • 3.22, Аноним (22), 17:38, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >а зачем тебе тор в повседневном использовании?

    Софт, драйверы, документация с Intel, Dell, etc теперь только через tor

     
     
  • 4.25, Аноним (25), 18:05, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А в Северной Корее даже через тор недоступна. Но тут уж сам выбирай: либо документация, либо духовность и опора на собственные силы.
     
  • 2.6, Аноним (-), 14:28, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • –16 +/
    Какое узкое мышление /_-
    Мне как владельцу сайта очень удобно просто добавить клоудфарю и получить, какую-никакую, защиту от ддоса + еще немного плюх, за не самый высокий прайс.

    Проблемы пользователей Тора мне вообще побоку, пусть релоцируются в страны где нет блокировок или пишут гневные письма в объединение центральных прачечных.

     
     
  • 3.7, Аноним (7), 14:31, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    +
    https://opennet.ru/55348-cloudflare
     
  • 3.9, Аноним (9), 14:44, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Какое узкое мышление

    Это ты сейчас про свое мышление ведь?)

    >пусть релоцируются в страны где нет блокировок

    Таких стран нет. Ты бы понял не будь у тебя узкого мышления.)

     
     
  • 4.17, Аноним (17), 16:51, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Выходящий мост тора находится...в какой-то стране, которой по экспертному мнению впопеннетчика не существует...
    Раст ТОП
     
  • 3.35, Аноним (35), 04:51, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Валерий Длугач одобряет эту бизнес модель.
     
     
  • 4.42, Аноним (-), 13:59, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Валерий Длугач одобряет эту бизнес модель.

    Не знаю кто это такой, но последний реально известный тип на эту тему звался, кажется, Иудой и получил за свои услуги по сдаче ближнего своего 20 сребренников. А этот "гений" не получит даже и того.

     
  • 3.38, Аноним (-), 05:30, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну чтож, ты сам напросился Ну тогда, если мыслить шире, ты 1 Продал своих ю... большой текст свёрнут, показать
     
     
  • 4.39, Аноним (-), 11:04, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > 1) Продал своих юзерей и их приваси на растерзание наглому MITM'у в обмен на плюшки.

    Хаха, какие громкие слова.
    Мои юзвери не маленькие, сами разберутся. Если они так боятся МИТМ - то просто закроют мой сайт на этапе "поставьте галочку для проверки".
    Ты еще упрекни меня, что в моем магазине камеры стоят)
    Хотя был один забавный случай, когда через дорогу напротив, на ступеньках банка у женщины сорвали сумку. А это умственно отсталый за пять минут до зашел в мой магазин. Как ты думаешь через сколько видео с его мордой было у копов?

     
     
  • 5.43, Аноним (-), 14:05, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что поделать - вы для меня вот это вот Вообще-то я закырваю это еще когда оно ... большой текст свёрнут, показать
     
     
  • 6.44, Аноним (-), 14:44, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это твое полное право, и я считаю что ты прав - если тебе это важно, значит ты п... большой текст свёрнут, показать
     
  • 2.8, Аноним (8), 14:39, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ublock+firefox захожу на все сайты под cloudflare без проблем, впервые о таком слышу.
     
     
  • 3.11, Аноним (-), 15:07, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Возможно у Анона №9 настолько широкое мышление, что он бродит по таким сайтам, что клоудфарь его с адблоком банит.
    Тут таких "особенных" полно. Когда у всех работает, а вот именно у него - нет.
     
  • 3.13, Pahanivo (ok), 15:29, 02/02/2024 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 3.18, Аноним (18), 17:10, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    а теперь включи resistFingerprinting и посмотри снова
     
     
  • 4.28, анон (?), 20:37, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как эта опция связана с адблоком?
     
  • 2.24, Аноним (25), 18:03, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты действительно не понимаешь, что CF фильтрует только то, что их клиенты хотят, без самодеятельности? Проблема не в них, а в том, что тебя с неправильными айпишниками владельцы ресурсов не хотят видеть.
     
     
  • 3.30, нах. (?), 22:59, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    проблема в том что клиенты ничего такого на самом деле не хотят. Они т-пые и хотят "чтоб враги сайт не роняли".

    А шмара впаривает псевдобезопасность и еще и сообщает клиентам как она героически "отразила атаку" - на деле заблокировав нормального пользователя, который может быть и денег бы принес когда-нибудь.

    Клиенты, повторяю - т-пые. Они в это верят. Отличный бизнес.

    А на деле твой траффик подсматривает клаудшмара. И опять клиенты - т-пые, им даже в голову это не приходит, они думат что все шифровано и безопастно - ведь им так сказали, и три миллиарда мух не могут же ошибаться.

     
     
  • 4.31, Аноним (25), 23:25, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Какой-то там гипотетический клиент, который может быть, а может и не быть — это всё разговоры в пользу бедных. От доса CF помогает, факт, пользовались. Можно забанить ненужные страны и всяких чудиков из тораот которых кроме скама ничего прийти не может. CDN у CF отличный. Сертификаты валидируются. А как на их воркеры переделали всё, так вообще сказочно стало — на порядок дешевле, чем свои серваки и при это в black friday ничего не ложится. Деньги говорят, что тупой тут кто-то другой.
     
     
  • 5.33, нах. (?), 23:39, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > — это всё разговоры в пользу бедных. От доса CF помогает,

    судя по подходу - тебе бы не хуже помогло просто дропать каждый второй коннект. Денег немеряно, клиенты видать нахрен тебе не нужны.

    Ну так тоже бывает. Наверное. (потому что обычно деньги не у того кто так говорит, а у его хозяина)

     
     
  • 6.34, Аноним (-), 02:00, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, мне не нужны клиенты со всяких помоек, прячущиеся за тором.
    Потому что потом начинается "а пачиму вы не принимаете карточки моего любимого сраньколхозбанка!?", а отправьте товар в опу-мира, но побыстрее это на день рождения моей тещи и тд.
    Я думаю могу сам решить, какие клиенты мне нужны, а от каких профита меньше, чем головняка.
    Если им что-то не нравится, пусть приходят в реальный магазин - там им отказать не смогут))
     
     
  • 7.40, нах. (?), 11:33, 03/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 8.41, Аноним (-), 13:44, 03/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 6.48, Аноним (25), 19:52, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты совершенно прав, многие «клиенты» совершенно не нужны. Абсолютно. От них только возвраты, чаржбэки и напряг для саппорта. А уж скаммеры из недоразвистых стран и тора — подавно. Поэтмоу спасибо CF за то, что не даёт им даже главную страницу загрузить.
     
  • 2.49, Anonimus (??), 07:44, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    AdBlock не использую, с uBlock проблем не было.
    Cloudflare одна из немногих компаний, которая делает много полезного и мало пиариться.
     
  • 2.50, Аноним (50), 11:42, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Печально слышать о ваших проблемах с современным интернетом, только непонятно, при чём тут Cloudflare. И региональные блоки, и капчу, и обнаружение adblock включают на своих сайтах их владельцы, Cloudflare только предоставляет такую возможность, так же как и другие cdn провайдеры.
     

  • 1.10, Аноним (10), 15:07, 02/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    В новости гениально сформулирвано утверждение про "инцидент почти ничего не затронул". А потом огромный перечень как злоумышленник гулял как у себя дома и поставил бэкдор для комфорта.
    Учитывая отличный уровень знаний нужно бы его на работу в клаудфлёр нанять, а лиц 20 отправить спокойной на мороз.
     
     
  • 2.14, клаудшмара (?), 15:41, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Учитывая отличный уровень знаний нужно бы его на работу в клаудфлёр нанять

    Не хочет, гад!

     
  • 2.15, Аноним (15), 16:22, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    По законам США (да и многих других стран) за такое срок серьезный, если его с деанонят. Так что работа в клаудфлеере ему врядли светит
     
  • 2.23, Аноним (25), 18:00, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Насмешил Клоун купил ворованные у Окты токены и буквально ничего не смог, потом... большой текст свёрнут, показать
     
     
  • 3.29, нах. (?), 22:56, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > две команды, внутренняя и внешняя прошерстили всё вдоль и поперёк, ничего не нашли

    стесняюсь спросить - это те самые две команды которые ЗНАЯ что токены утекли - таки прое...ли замену, и дождались праздничка, или у клаудшмары для этого в шкафу запасены еще две отдельные?

     
     
  • 4.32, Аноним (25), 23:27, 02/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да сам почитаешь, не буду портить тебе сюрприз.
     

  • 1.16, Аноним (15), 16:41, 02/02/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +3 +/
     
  • 1.19, Аноним (19), 17:24, 02/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    полностью раскрыла?
     
  • 1.36, Аноним (35), 04:55, 03/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я для себя решил проблему с блокировками в России так - установил uBlacklist

    Уверен также можно и проблему с Cloudflare решить. Контента в интернете много, ChatGPT, автопереводы, авторепосты кравлеров, сливы всего и вся. То что мне надо нахожу.

     
     
  • 2.47, Аноним (47), 20:27, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо свидетель АНБ-шной халявы. Как долго можно ожидать что где-то на Mozilla Monitor не появятся учетные данные такого пользователя? И конечно же известных (конечно-же российских) ресурсов. Какая-то херотень от компании iorate, название которой само за себя говорит подключается непонятно куда чтобы тебе помочь. Угусь.
     

  • 1.45, Аноним (45), 16:53, 03/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подумаешь весь трафик верунов в Мозиллу через него идёт, кушаем дальше.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру