Cloudflare 2023 年感恩节安全事件总结

事件背景

2023 年感恩节期间，Cloudflare 在其自托管的 Atlassian 服务器上检测到一名威胁行为者。安全团队迅速采取措施，移除其访问权限并启动调查。随后，Cloudflare 引入了 CrowdStrike 的取证团队进行独立分析，并于 2024 年 2 月初完成分析。结果显示，由于访问控制、防火墙规则和零信任工具等安全措施，Cloudflare 的客户数据和系统均未被泄露。

攻击时间线与细节

根据 Cloudflare 发布的博客文章，攻击时间线如下：

• 11 月 14 日至 17 日：威胁行为者进行情报收集，获取了内部维基和漏洞数据库的访问权限。
• 11 月 22 日：威胁行为者重返 Atlassian 服务器，获得持久访问权限，并尝试访问源代码管理系统。
  攻击者利用了一个访问令牌和三个服务账户凭证，这些凭证是在 2023 年 10 月 Okta 被攻破后获取且未更改的。所有未授权访问在 11 月 24 日被终止，当天检测到最后一次威胁活动。

事件响应与调查

在 11 月 24 日移除威胁行为者后，Cloudflare 安全团队召集公司各部门人员，全面调查此次入侵。目标是确认威胁行为者完全无法访问 Cloudflare 系统，并评估其未授权访问的范围。
从 11 月 27 日起，Cloudflare 的大部分技术人员（包括安全团队内外）集中参与名为 Code Red 的项目，旨在强化 Cloudflare 环境的安全性、验证其完整性并修复潜在漏洞，同时继续审查所有系统、账户和日志，确保威胁行为者未留下持久访问权限。

威胁行为者的目标与防御措施

威胁行为者主要针对 Cloudflare 的 Atlassian 环境，试图获取全球网络架构、安全和管理的敏感信息。为预防未来类似事件，Cloudflare 启动全面安全协议改革，包括：

• 轮换 5,000 多个生产凭证。
• 隔离测试和预发布系统。
• 对近 4,900 个系统进行取证分析。
• 重启全球所有机器。
  此外，还采取了主动措施保护圣保罗数据中心，包括将设备送回制造商检查，更新软件包，识别并移除未使用账户，以及审查数据以排查潜在安全风险。

项目进展与后续工作

Code Red 项目于 2024 年 1 月 5 日结束，但 Cloudflare 仍在持续改进凭证管理、软件安全、漏洞管理，并实施额外的安全措施。

社区反馈与讨论

Cloudflare 在博客文章中附上了 Hacker News 的讨论链接，技术社区成员对 Cloudflare 的可靠性表示赞赏，并询问其是否会继续使用 Okta。此外，博客还提供了 Indicators of Compromise (IOCs)，帮助受 Okta 事件影响的组织检查日志，确认是否遭遇同一威胁行为者。

致谢

Cloudflare 对感恩节期间参与初步分析并阻止威胁行为者进一步访问的团队表示感谢，同时也对 CrowdStrike 的快速响应和独立评估表示感激。

总结

Cloudflare 在 2023 年感恩节期间成功检测并应对了一次针对其 Atlassian 服务器的安全事件，展现了强大的安全防护和响应能力。通过全面的调查和加固措施，Cloudflare 确保了客户数据和系统的安全，并为未来可能的安全威胁做好了准备。