Cloudflare聘请资安公司CrowdStrike,针对自托管Atlassian伺服器在2023年11月23日遭到攻击者入侵事件进行调查,完整其包含一个Moveworks服务令牌,具有远端存取Cloudflare Atlassian系统的权限,一个基于SaaS的Smartsheet应用程式所使用的服务帐户凭证,能够用于存取Atlassian Jira执行个体,第二个帐户是Bitbucket服务帐户,用于存取程式码管理系统,最后一个则是AWS服务帐户,但为无法存取全球网路、客户和敏感资料的环境。
这些服务令牌和凭证就是攻击者进入Cloudflare系统,并且试图建立持久部署的关键,Cloudflare强调,这并非Atlassian、AWS、Moveworks或Smartsheet的错误,而是Cloudflare没有轮换凭证的问题。
攻击者先是在11月14日到17日进行侦查,存取Cloudflare内部的wiki以及错误资料库,11月20日与11月21日测试存取以确认仍可连线。真正的攻击行动从11月22日开始,攻击者使用ScriptRunner for Jira建立对Atlassian伺服器的持久存取,并且获得程式码管理系统Atlassian Bitbucket存取权限,并尝试存取Cloudflare巴西资料中心控制台伺服器,但是并未成功。
所有攻击存取和连线都在11月24日终止,虽然攻击者在这个攻击行动中所造成的影响有限,但Cloudflare严肃看待该事件,毕竟攻击者使用了偷来的凭证,存取Atlassian伺服器上的部分档案和程式码。在Cloudflare、业界与政府合作调查下,确认这次攻击来自国家资助攻击者,其目的是要获得Cloudflare全球网路持久且广泛的存取能力。
经过CrowdStrike的调查,并没有发现更多的攻击者活动,但Cloudflare仍全面轮换所有产品凭证,并且进行彻底的检查。Cloudflare还将巴西资料中心设备,交由供应商鉴识团队检查,确认攻击者没有成功入侵的痕迹,不过即便如此,Cloudflare慎重起见仍更换了硬体。