Cloudflare violé par un acteur présumé d'une menace parrainée par l'État accédant au code source et aux documents internes

Cloudflare, une société de sécurité Web bien connue et un réseau de diffusion de contenu, a récemment révélé une faille de sécurité inquiétante orchestrée par un acteur malveillant présumé parrainé par l'État. L'incident, dévoilé le 23 novembre, impliquait un accès non autorisé aux systèmes internes via des informations d'identification volées, initialement compromises lors du piratage Okta d'octobre 2023.

Exploitation des informations d'identification volées

L'acteur malveillant a exploité ces informations d'identification pour infiltrer le wiki interne et la base de données de bugs de Cloudflare, menant des activités de reconnaissance à partir du 14 novembre. Malgré la segmentation du réseau empêchant l'accès à certains systèmes critiques, les attaquants ont réussi à pénétrer l'environnement AWS et la suite Atlassian de Cloudflare, notamment Jira et Confluence.

Au sein de la suite Atlassian, les attaquants ont recherché des informations relatives à l'infrastructure réseau de Cloudflare, en se concentrant sur des mots clés tels que « accès à distance », « secret » et « jeton ». Ils ont même créé un compte Atlassian persistant pour garantir un accès continu. De plus, ils ont déployé le Sliver Adversary Emulation Framework pour obtenir un accès plus approfondi et ont tenté de pénétrer dans un centre de données non opérationnel à São Paulo, au Brésil.

Le plan d'action rapide de Cloudflare

Alors que les attaquants accédaient et téléchargeaient les référentiels de code source, Cloudflare a rapidement réagi en alternant les secrets cryptés et en mettant fin aux comptes non autorisés. Des règles de pare-feu ont été mises en œuvre pour bloquer les adresses IP des attaquants, et des mesures de sécurité approfondies ont été prises, notamment la création d'une nouvelle image et le redémarrage de toutes les machines du réseau mondial de Cloudflare.

Malgré l'enquête approfondie menée par Cloudflare et CrowdStrike, aucune preuve ne suggère une autre compromission au-delà des systèmes consultés. L'entreprise reste vigilante et améliore continuellement ses mesures de sécurité pour prévenir de futures violations et protéger son infrastructure contre les menaces sophistiquées.