Cloudflare, Okta Saldırısında Çalınan Kimlik Bilgileri ile Saldırıya Uğradı

Cloudflare, Atlassian sunucularının devlet destekli saldırganların tarafından ihlal edildiğini ve saldırganların Confluence wiki, Jira hata veritabanı ve Bitbucket kaynak kodu yönetim sistemine erişim sağladığını açıkladı.

Saldırganlar, Cloudflare’in kendi barındırdığı Atlassian sunucusuna 14 Kasım’da ilk erişim sağladı ve ardından şirketin Confluence ve Jira sistemlerine erişti. 22 Kasım’da geri dönen saldırganlar Atlassian sunucularına ScriptRunner for Jira kullanarak kalıcı erişim sağladılar ve ardından Cloudflare’in henüz São Paulo, Brezilya’da devreye almadığı bir veri merkezine erişim yapmaya çalıştılar. Sistemlere erişim için Ekim 2023’de Okta ihlaline ele geçirilen belge ve kimlik bilgileri kullanıldı.

São Paulo’daki veri merkezine sızma girişimleri başarısız oldu. Cloudflare’in Brezilya veri merkezindeki tüm ekipman daha sonra veri merkezinin %100 güvenli olduğundan emin olmak için üreticiye geri gönderildi.

Şirket, bu ihlalin Cloudflare müşteri verilerini veya sistemlerini etkilemediğini; hizmetleri, küresel ağ sistemleri veya yapılandırmasının da etkilenmediğini belirtiyor.