Cloudflare แจงเหตุถูกแฮ็ก สืบเนื่องจากเหตุการณ์ Okta

Cloudflare หนึ่งในผู้ให้บริการอินเทอร์เน็ตรายใหญ่ของโลกได้ออกมาเปิดเผยเหตุการณ์โจมตีล่าสุดที่ตนประสบมา โดยคนร้ายสามารถเข้าถึงเซิร์ฟเวอร์ Atlassian ได้ประกอบด้วย Confluence wiki, Jira bug database และ Bitbucket source code management ซึ่งคาดว่าจะเป็นกลุ่มแฮ็กเกอร์ระดับรัฐสนับสนุนที่ต้องการฝังตัวในเครือข่าย แต่จุดเริ่มต้นมาจากความผิดพลาดของ Okta บริษัทด้าน IAM เมื่อปีก่อน

เรื่องราวเริ่มต้นจากการที่คนร้ายได้อาศัย access token และ credential จากการที่ข้อมูลของ Okta ประสบเหตุรั่วไหลช่วงเดือนตุลาคมปีก่อนเพื่อเข้าถึงเซิร์ฟเวอร์ Atlassian ของ Cloudflare ครั้งแรกในวันที่ 14 พ.ย และหวนกลับมาดำเนินการอีกครั้ง 22 พ.ย. โดยครั้งนี้ได้สร้างการฝังตัวให้อยู่ได้อย่างยาวนานในเซิร์ฟเวอร์ด้วย Jira ScriptRunner พร้อมเข้าถึงระบบจัดการโค้ด (Bitbucket) รวมถึงยังพยายามเข้าไปยังเซิร์ฟเวอร์ที่มีการเชื่อมต่อไปยังดาต้าเซ็นเตอร์ในเซาเปาโล เคราะห์ดีที่ระบบยังไม่ถูกนำไปใช้จริงและความพยายามของคนร้ายส่วนนี้ไม่ประสบความสำเร็จ

Cloudflare ตรวจพบกิจกรรมผิดปกติในวันที่ 23 พ.ย. แต่มีทีมเข้ามาเริ่มสืบสวนเหตุเมื่อ 26 พ.ย. อย่างไรก็ดีบริษัทยืนยันว่าไม่มีข้อมูลของลูกค้าได้รับผลกระทบ และตนก็ได้พยายามอย่างแข็งขันในการจัดการกับช่องโหว่หรือความเสี่ยงอื่นเสร็จสิ้นในวันที่ 5 ม.ค. ปีนี้ แต่ยังทำการ hardening software กันอยู่ โดยมีหลายกระบวนการที่ Cloudflare ทำคือ

  • เปลี่ยน Credentials ทั้งหมดในระบบ Production
  • ทดสอบการใช้ Segmentation เชิงกายภาพและระบบ Staging
  • ประมวลพิสูจน์หลักฐานระบบกว่า 4,893 ตัว
  • Reimage และ Reboot ระบบทั้งหมดใน Global Network ขององค์กร รวมถึงเซิร์ฟเวอร์ Atlassian และเครื่องใดๆที่คนร้ายเข้าถึง
  • แม้ว่าความพยายามเจาะเข้าสู่ดาต้าเซ็นเตอร์เซาเปาโลจะไม่สำเร็จ แต่ Cloudflare ถึงขนาดส่งอุปกรณ์ทั้งหมดกลับไปยังผู้ผลิตเพื่อทำให้แน่ใจว่าดาต้าเซ็นเตอร์จะปลอดภัย 100%

จากการประเมินเหตุการณ์คาดว่าคนร้ายน่าจะเป็นทีมระดับรัฐสนับสนุน โดยจากพฤติกรรมคือเข้ามา wiki page และ bug database และซอร์สโค้ด ซึ่งเหมือนกับเป็นการมองหาประโยชน์จากช่องโหว่ของสถาปัตยกรรม หรือการบริหารจัดการเครือข่าย เพื่อฝังรากลึกให้ได้มากที่สุด

ที่มา : https://www.bleepingcomputer.com/news/security/cloudflare-hacked-using-auth-tokens-stolen-in-okta-attack/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้