Das Cloudflare-Logo auf einem Smartphone
Das Cloudflare-Logo auf einem Smartphone
Bildquelle: rafapress, Lizenz

Cloudflare-Sicherheitsvorfall: Angreifer infiltriert Atlassian-Server

Am 14. November 2023 kam es zu einem schweren Sicherheitsvorfall bei Cloudflare. Nun wurde bekannt, wie die Angreifer vorgegangen sind.

Cloudflare, einer der führenden Anbieter von Internetsicherheitsdiensten, wurde Opfer eines schwerwiegenden Sicherheitsvorfalls. Ein interner Atlassian-Server wurde Opfer eines mutmaßlichen „nationalen Angreifers“, der erstmals am 14. November 2023 auf den Server zugriff.

Cloudflare-Sicherheitsvorfall: Der Angriff im Detail

Die Angreifer nutzten ein Access Token und drei Zugangsdaten für Servicekonten, die sie bei einer früheren Kompromittierung im Oktober 2023 erbeutet hatten. Diese Informationen stammten aus der Okta-Schwachstelle, die Cloudflare nicht beheben konnte. Dennoch gelang es dem Angreifer, in die Systeme des Unternehmens einzudringen und es kam zu dem nun bekanntgewordenen Cloudflare-Sicherheitsvorfall.

CEO Matthew Prince, CTO John Graham-Cumming und CISO Grant Bourzikas erläutern den Sicherheitsvorfall bei Cloudflare.
CEO Matthew Prince, CTO John Graham-Cumming und CISO Grant Bourzikas erläutern den Sicherheitsvorfall bei Cloudflare

Cloudflare entdeckte die böswilligen Aktivitäten am 23. November und sperrte den Zugang des Hackers am 24. November. In den darauffolgenden Tagen führten die Cybersicherheitsexperten von Cloudflare umfangreiche Untersuchungen durch. Als Reaktion wurden mehr als 5.000 Produktionsanmeldeinformationen geändert, Test- und Staging-Systeme physisch getrennt und eine umfassende forensische Überprüfung von 4.893 Systemen durchgeführt.

Fehlgeschlagener Angriff auf Rechenzentrum in São Paulo

Die Angreifer versuchten erfolglos, auf einen Konsolenserver zuzugreifen, der Zugriff auf das noch nicht in Betrieb genommene Rechenzentrum in São Paulo, Brasilien, ermöglicht hätte. Cloudflare reagierte schnell und gab alle Geräte im brasilianischen Datenzentrum zurück, um die hundertprozentige Sicherheit des Standorts zu gewährleisten. Dies berichtet Bleeping Computer in einem aktuellen Artikel.

Glücklicherweise hatte der Vorfall keine Auswirkungen auf die Daten oder Systeme der Kunden von Cloudflare. Dennoch nimmt das Unternehmen die Bedrohung ernst und arbeitet weiterhin an der Härtung der Software und der Verwaltung von Anmeldedaten und Schwachstellen. Der Vorfall wird als sehr geringfügig eingestuft. Denn der Angreifer hatte nur Zugang zu einigen Dokumenten und einer begrenzten Menge an Quellcode.

Wiederholte Angriffe

Dieser jüngste Vorfall ist kein Einzelfall. Bereits im Oktober 2023 wurde die Okta-Instanz von Cloudflare angegriffen, wobei sich Hacker Zugriff auf die Dateien von 134 Kunden verschafften. Das Security Incident Response Team von Cloudflare konnte die Auswirkungen jedoch schnell eindämmen.

Cloudflare stuft den Vorfall als ernst ein, auch wenn die Auswirkungen auf den Geschäftsbetrieb als sehr gering angesehen werden. Das Unternehmen arbeitet weiterhin intensiv an der Verbesserung der Softwarehärtung und der Verwaltung von Anmeldedaten, um zukünftige Angriffe zu minimieren.

Tarnkappe.info

Über

Sunny schreibt seit 2019 für die Tarnkappe. Er verfasst die wöchentlichen Lesetipps und berichtet am liebsten über Themen wie Datenschutz, Hacking und Netzpolitik. Aber auch in unserer monatlichen Glosse, in Interviews und in „Unter dem Radar“ - dem Podcast von Tarnkappe.info - ist er regelmäßig zu hören.