Cloudflare פרוץ: למה ועל ידי מי?

בתחילת פברואר החדשות על הפריצה של Cloudflare. בכותרות המגזינים קראנו שהחברה Cloudflare, ענקית אבטחת רשת אמריקאית, נפרצה על ידי קבוצת "חסות המדינה" כנראה. 

ההתקפה, שניה שבוע האבטחה, התרחש באמצעות שימוש באישורים שנגנבו במהלך התקפה קודמת (Okta hack). Okta, ספקית שירותי אבטחה וזהות מקוונים, נפרצה לכאורה בספטמבר ודיווחה על אובדן נתונים לגבי לקוחותיה. 

שוב מהמאמר מאת שבוע האבטחה בתחילת פברואר נודע לנו כי המידע של התחבר שנגנב במהלך ההתקפה על Okta לא הוחלף, מה שאפשר לתוקף לגשת למערכות Cloudflare החל מה-14 בנובמבר.

ממה שאנחנו יודעים עד כה, עלינו להתחיל לשאול את עצמנו כמה שאלות:

1. אם חברת אבטחה מקבלת הודעה על אובדן נתוני גישה המשפיעים עליה, מדוע היא לא ממשיכה להשבית אותם באופן מיידי?
2. למה להביא "שחקן ממלכתי" למשחק עבור ניסיון פריצה המבוסס באופן טריוויאלי על שימוש באישורים גנובים ועדיין פעילים?

שתי שאלות שהתשובה עליהן אינה טריוויאלית.

בוא נמשיך. 

תמיד שני Cloudflare לתוקף הייתה גישה למספר מערכות פנימיות: 

- סביבת AWS;

- המערכות Jira e מפגש, מאת אטלסיאן, שתי מערכות של שיתוף פעולה מתקדם בשימוש ע"י Cloudflare. Jira במיוחד הוא משמש לניהול באגי מערכת.

שוב על פי הצהרות החברה, התוקף הצליח לנוע בתוך סביבת העבודה והייתה לו גישה ל-120 מאגרים של קוד. לא ברור אם הוא הוריד אותם או לא. העובדה היא שהמסמכים שאליהם הייתה גישה נגעו לשיטות הפעולה של ה גיבוי, התצורה והניהול של הרשת הגלובלית Cloudflare, גישה מרחוק ושימוש ב- Terraform (בניסוח פשוט, מערכת ניהול תשתיות IT) וב-Kubernetes (לניהול עומסי עבודה ושירותים).

ההאקר זוהה רק ב-23 בנובמבר, לפיכך לאחר כ-10 ימים, במהלכם הצליח גם להתקין תוכנה בתוך הרשת. Cloudflare, כלי צוות אדום צ'ה סי צ'יאמה רְסִיס, אחד מסגרת אמולציה של יריב והוא קוד פתוח וניתן להורדה חופשית מ- GitHub.

לאחר שאמרתי זאת, הבה נעבור לניסיון לענות על שתי השאלות שהוצגו לעיל:

- התשובה לראשונה די פשוטה, חברות מורכבות מבני אדם שיש להם את הזמנים שלהם, את הבעיות שלהם ושעשו טעויות. מי שנאלץ להתמודד עם זה כנראה לא העריך את העניין או אולי, יותר פשוט, היה עסוק בחג או בעניינים אחרים! אתה יודע את התוצאה.

- קשה יותר לענות על השאלה השנייה. מנקודת מבט של חשיפה תקשורתית, קל יותר להצדיק כישלון אם האשם הוא מדינה מנוגדת, קשה יותר להצדיק את מה שקרה אם יתברר שהתוקף הוא טירון בן חמש עשרה. יתר על כן, המצב הבינלאומי של ארצות הברית ומעמדה של Cloudflare כספקית עולמית של שירותי אבטחה הופכים אותה לקורבן אידיאלי עבור כל מי שרוצה לקחת אחריות על המתקפה. 

לצערי, לדעתי, קשה לטעון שהפיגוע היה "בחסות המדינה" מכמה סיבות. איכשהו תתבע מתקפה "בחסות המדינה". יתרה מכך, מקריאת הכתבות השונות נראה כי התוקף לקח הפסקה ביום "חג ההודיה", 23 בנובמבר, כנראה בגלל שהיה עסוק בחגיגות עם משפחתו!

אז בואו ניתן לזה זמן. אולי בהמשך יעלה משהו שיאפשר לנו להבין מה קרה.

נ.ב לסקרנים יותר צירפתי מספר קישורים למרגלות העמוד מהם ניתן להבין גם את הנזק שנגרם מהתקפה זו מבחינת פעילויות בקרה, בפועל של כסף שהוצא!

טוב קריאה.

_{להעמיק:}

_{- https://www.securityweek.com/cloudflare-hacked-by-suspected-state-sponso...}

_{-  https://www.reuters.com/technology/cybersecurity/okta-says-hackers-stole...}

_{- https://www.atlassian.com/software/confluence/jira-integration}

_{- https://developers.cloudflare.com/terraform/} 

_{- https://bishopfox.com/tools/sliver}

_{- https://blog.cloudflare.com/thanksgiving-2023-security-incident}