Ai fini della massima trasparenza, Cloudflare ha pubblicato un resoconto delle attività di verifica avviate dopo la scoperta di un attacco informatico diretto alla sua struttura. La società, che fornisce un ampio ventaglio di servizi dedicati a migliorare la sicurezza, le prestazioni e la disponibilità dei siti e delle applicazioni Web, ha confermato di aver subìto un’aggressione a metà novembre 2023. L’attacco non ha sfruttato falle di sicurezza insite nell’infrastruttura Cloudflare ma ha avuto inizio con la sottrazione di un token di accesso e tre credenziali di account di servizio, rubate durante un precedente attacco sferrato nei confronti di Okta, a ottobre 2023.
Tutto parte dall’attacco informatico subito da Okta: furto di cookie e token di sessione
Okta è una società che fornisce soluzioni di gestione delle identità digitali e degli accessi (IAM) basate sul cloud. L’obiettivo principale di Okta è semplificare e garantire la sicurezza nell’accesso ai servizi e alle applicazioni online mettendo a disposizione servizi di autenticazione, autorizzazione, provisioning per aziende di varie dimensioni. Cloudflare utilizza, evidentemente, Okta per gestire gli accessi alle risorse digitali da parte di dipendenti e collaboratori.
Lo scorso ottobre, un gruppo di aggressori non identificati ha rubato cookie e token di sessione caricati dai clienti nel sistema di gestione Okta. Questi file includevano anche oggetti HTTP Archive (HAR), utilizzati per replicare errori degli utenti o degli amministratori.
Attacchi di tipo cookie/session hijacking sono particolarmente pericolosi, soprattutto se perpetrati ad alto livello, perché mettono gli aggressori nelle condizioni di guadagnare accesso non autorizzato alle risorse altrui senza neppure conoscere username e password corretti.
Già a ottobre, apparve chiaro come anche Cloudflare fosse coinvolta: la sottrazione del token di autenticazione sottratto sulla piattaforma Okta, ha permesso di farsi strada sui sistemi del popolarissimo provider cloud.
Cloudflare spiega i dettagli dell’attacco subìto
Il CEO di Cloudflare Matthew Prince, il CTO John Graham-Cumming e il CISO Grant Bourzikas, hanno voluto spiegare nel dettaglio quello che chiamano “Thanksgiving 2023 security incident“.
Analizzando le risorse conservate sulla rete Cloudflare alle quali gli aggressori hanno avuto accesso, le evidenze emerse dai database, l’interesse per i repository contenenti codice sorgente, appare evidente che i criminali informatici stessero cercando informazioni sull’architettura, la sicurezza e la gestione della rete globale Cloudflare. L’obiettivo era senza dubbio quello di stabilire una porta di accesso stabile con la piattaforma in modo da interferire con il suo normale funzionamento.
I responsabili Cloudflare aggiungono inoltre che, anche sulla base di quanto evidenziato a valle delle analisi condivise con esperti del settore e autorità governative, l’attacco sembra essere ricollegabile all’azione di un gruppo di criminali lautamente finanziati da uno stato. Proprio al fine di ottenere un accesso persistente e diffuso alla rete globale Cloudflare.
Da un lato l’azienda conferma quindi che si è trattato di un attacco sofisticato, sicuramente ben orchestrato. Violare dapprima Okta per poi aprire una breccia nell’infrastruttura di Cloudflare non è qualcosa che può fare un qualunque utente malintenzionato.
D’altra parte, tuttavia, Cloudflare ridimensiona l’incidente e getta acqua sul fuoco chiarendo che quanto accaduto non avrebbe alcun genere di conseguenza sui dati o sui sistemi dei clienti. Anche i servizi della società, il sistema di networking globale e le singole configurazioni non sono stati influenzati dall’attacco.
Quali sono i sistemi colpiti
I portavoce di Cloudflare hanno rivelato che il primo sistema a essere oggetto di attacco è il server Atlassian interno. Atlassian è una realtà che offre una serie di strumenti software collaborativi progettati per migliorare la gestione del lavoro di squadra, la comunicazione e la collaborazione all’interno delle organizzazioni. Alcuni dei prodotti software più noti di Atlassian includono Jira, Confluence, Bitbucket e Bamboo.
Dopo l’attacco al server Atlassian, possibile proprio in forza del furto dei token e delle credenziali lato Okta, gli aggressori hanno guadagnato l’accesso ai sistemi Confluence e Jira dell’azienda, dopo una fase di ricognizione.
Il team di malintenzionati è poi tornati sulla rete interna di Cloudflare il 22 novembre 2023 per stabilire un accesso permanente al server Atlassian, utilizzando ScriptRunner per Jira. Hanno poi ottenuto l’accesso al sistema di gestione del codice sorgente (che utilizza Atlassian Bitbucket) e hanno tentato, senza successo, di accedere alla console di un server che fungeva da ponte con il data center di San Paolo, in Brasile, struttura che Cloudflare non aveva ancora messo in produzione.
Cloudflare ha rilevato l’attività dannosa il 23 novembre, ha bloccato l’accesso non autorizzato la mattina del 24 novembre e i suoi specialisti hanno iniziato a indagare sull’incidente tre giorni dopo, il 26 novembre 2023.
Le contromisure poste in campo da Cloudflare
Per proteggere la sua infrastruttura e scongiurare l’eventualità di successivi attacchi, lo staff di Cloudflare ha cambiato tutte le credenziali usate in produzione (oltre 5.000 univoche), ha segmentato fisicamente i sistemi di test e staging, ha eseguito un triage forense su 4.893 sistemi, ha ricontrollato e riavviato tutti i sistemi sulla rete globale dell’azienda, inclusi tutti i server Atlassian (Jira, Confluence e Bitbucket) e le macchine a cui ha avuto accesso l’aggressore.
Gli interventi tecnici si sono conclusi soltanto il 5 gennaio 2024, ma la società afferma che il suo personale sta ancora lavorando sul rafforzamento del software, nonché sulla gestione delle credenziali e delle vulnerabilità.
C’è da dire che il problema era già noto a ottobre, dopo l’attacco lamentato da Okta. A questo proposito, appare evidente che Cloudflare non fosse precedentemente riuscita a modificare alcune delle migliaia di credenziali trapelate dopo la compromissione di Okta. Credenziali che poi sono state utilizzate per penetrare all’interno del network aziendale.
“Sebbene l’impatto operativo dell’incidente sia estremamente limitato, abbiamo preso l’accaduto molto sul serio perché gli aggressori hanno utilizzato credenziali rubate per ottenere l’accesso al nostro server Atlassian, ad alcuni documenti e a una quantità limitata di codice sorgente“, fanno presente Prince, Graham-Cumming e Bourzikas.