Bericht: Wie Angreifer in das Netzwerk von Cloudflare eingedrungen sind
Nach Abschluss der Untersuchungen eines IT-Sicherheitsvorfalls schildert der CDN-Betreiber Cloudflare, wie die Attacke abgelaufen ist.
(Bild: vectorfusionart/Shutterstock.com)
Mit seinem Content Delivery Network (CDN) und seinem DNS-Dienst spielt Cloudflare weltweit eine zentrale Rolle im Internet. Demzufolge ist der Dienst besonders schĂĽtzenswert. Ende 2023 konnten sich Angreifer Zugriff auf bestimmte Netzwerkbereiche verschaffen. In einem aktuellen Bericht schildert das Unternehmen den Ablauf der Attacke.
Was ist geschehen?
In einem Blogbeitrag gibt Cloudflare an, dass der Vorfall im November 2023 stattgefunden hat. Die Aufarbeitung des Falls ergab, dass die unbekannten Angreifer mehrere Tage Zugriff auf verschiedene Systeme hatten. Cloudflare geht von staatlich gesponserten Angreifern aus.
Das Unternehmen versichert, dass es keine Zugriffe auf Daten oder Systeme von Kunden gegeben hat. Eigenen Angaben zufolge wurden die Systeme mittlerweile bereinigt. Cloudflare betont, dass aufgrund der Zero-Trust-Infrastruktur nur bestimmte Bereiche von dem Sicherheitsvorfall betroffen waren. So sollen etwa keine Dienste in Mitleidenschaft gezogen worden sein und die Angreifer konnten auch keine Ă„nderungen im globalen Netzwerksystem vornehmen.
Dennoch konnten sie Cloudflare zufolge unter anderem auf das interne Wiki und die Bug-Datenbank zugreifen. Außerdem haben sie sich persistenten Zugriff auf einen Atlassian-Server mit Sourcecode verschafft. Überdies habe es Zugriffe auf ein Datencenter in Brasilien gegeben, das aber bislang nicht in Betrieb war. Primär sollen die Angreifer Ausschau nach Informationen über die interne Cloudflare-Architektur und Sicherheitsaspekte des globalen Netzwerks gehalten haben.
Der Ursprung
Einstiegspunkte für die Angreifer waren ein Zugriffstoken und drei Service-Accounts, die bei einer Attacke auf den Identitäts- und Zugangsverwaltungsdienstleister Okta im November 2023 kopiert wurden. An dieser Stelle räumt das Unternehmen Versäumnisse ein. Nach dem Okta-Hack haben sie nicht alle Zugangsdaten geändert.
WeiterfĂĽhrende Informationen zu der Attacke und dem zeitlichen Ablauf fĂĽhrt das Unternehmen in seinem Blog aus.
(des)
