Am 14. November 2023 kam es zu einem schweren Sicherheitsvorfall bei Cloudflare. Nun wurde bekannt, wie die Angreifer vorgegangen sind.
Cloudflare, einer der führenden Anbieter von Internetsicherheitsdiensten, wurde Opfer eines schwerwiegenden Sicherheitsvorfalls. Ein interner Atlassian-Server wurde Opfer eines mutmaßlichen „nationalen Angreifers“, der erstmals am 14. November 2023 auf den Server zugriff.
Cloudflare-Sicherheitsvorfall: Der Angriff im Detail
Die Angreifer nutzten ein Access Token und drei Zugangsdaten für Servicekonten, die sie bei einer früheren Kompromittierung im Oktober 2023 erbeutet hatten. Diese Informationen stammten aus der Okta-Schwachstelle, die Cloudflare nicht beheben konnte. Dennoch gelang es dem Angreifer, in die Systeme des Unternehmens einzudringen und es kam zu dem nun bekanntgewordenen Cloudflare-Sicherheitsvorfall.
Cloudflare entdeckte die böswilligen Aktivitäten am 23. November und sperrte den Zugang des Hackers am 24. November. In den darauffolgenden Tagen führten die Cybersicherheitsexperten von Cloudflare umfangreiche Untersuchungen durch. Als Reaktion wurden mehr als 5.000 Produktionsanmeldeinformationen geändert, Test- und Staging-Systeme physisch getrennt und eine umfassende forensische Überprüfung von 4.893 Systemen durchgeführt.
Fehlgeschlagener Angriff auf Rechenzentrum in São Paulo
Die Angreifer versuchten erfolglos, auf einen Konsolenserver zuzugreifen, der Zugriff auf das noch nicht in Betrieb genommene Rechenzentrum in São Paulo, Brasilien, ermöglicht hätte. Cloudflare reagierte schnell und gab alle Geräte im brasilianischen Datenzentrum zurück, um die hundertprozentige Sicherheit des Standorts zu gewährleisten. Dies berichtet Bleeping Computer in einem aktuellen Artikel.
Glücklicherweise hatte der Vorfall keine Auswirkungen auf die Daten oder Systeme der Kunden von Cloudflare. Dennoch nimmt das Unternehmen die Bedrohung ernst und arbeitet weiterhin an der Härtung der Software und der Verwaltung von Anmeldedaten und Schwachstellen. Der Vorfall wird als sehr geringfügig eingestuft. Denn der Angreifer hatte nur Zugang zu einigen Dokumenten und einer begrenzten Menge an Quellcode.
Wiederholte Angriffe
Dieser jüngste Vorfall ist kein Einzelfall. Bereits im Oktober 2023 wurde die Okta-Instanz von Cloudflare angegriffen, wobei sich Hacker Zugriff auf die Dateien von 134 Kunden verschafften. Das Security Incident Response Team von Cloudflare konnte die Auswirkungen jedoch schnell eindämmen.
Cloudflare stuft den Vorfall als ernst ein, auch wenn die Auswirkungen auf den Geschäftsbetrieb als sehr gering angesehen werden. Das Unternehmen arbeitet weiterhin intensiv an der Verbesserung der Softwarehärtung und der Verwaltung von Anmeldedaten, um zukünftige Angriffe zu minimieren.
