CloudFlare服务器在感恩节当天遭到黑客攻击，使用的是Okta漏洞中被盗的身份验证令牌。2023年Okta漏洞的后果仍在继续，Cloudflare披露了其安全漏洞的详细信息。

全球知名云服务提供商Cloudflare在2023年11月23日感恩节发生安全事件，导致其内部Atlassian服务器遭受未经授权的访问。该公司确认没有客户数据或系统受到此次入侵的影响，并在24小时内被有效封锁。

调查已于近日结束。根据该公司2024年2月2日发布的博客文章，Cloudflare于2023年11月24日检测到该漏洞，并于11月27日与CrowdStrike合作启动调查，称为“Project Code Red”。

攻击者使用访问令牌访问Cloudflare的系统，并且在2023年10月的一次Okta泄露中，三个服务帐户凭据被盗。据报道，威胁行为者使用窃取的凭据访问其Atlassian环境，寻求有关Cloudflare全球网络架构、安全和管理的信息。值得注意的是，Cloudflare的Atlassian系统负责管理Confluence和Jira等内部协作工具。

“威胁行为者访问了有关漏洞管理、秘密轮换、MFA 绕过、网络访问，甚至我们对Okta事件本身的响应的Jira票证。维基搜索和访问的页面表明，威胁行为者对访问我们系统的各个方面都非常感兴趣：密码重置、远程访问、配置、Salt的使用，但他们并不针对客户数据或客户配置。”----Cloudflare

Cloudflare发现“民族国家攻击者”可能对其服务器的破坏负责。不过，该公司没有透露有关可能的肇事者的更多细节。攻击者于2023年11月14日访问了其Confluence wiki、Jira bug数据库和Bitbucket源代码管理系统。

Cloudflare首席执行官Matthew Prince、CTO John Graham-Cumming和CISO Grant Bourzikas表示，11月22日，黑客获得了对其Atlassian服务器、源代码管理系统和控制台服务器的持久访问权限。

他们还尝试访问巴西圣保罗的数据中心，但未成功，该数据中心尚未由Cloudflare投入生产。作为预防措施，巴西数据中心的每台设备均已返还给制造商，以确保该设施的安全。

至于预防，Cloudflare员工的应对措施包括轮换所有5000个独特的生产凭证、对测试和分级系统进行物理分段、对大约4983个系统进行取证分类，以及重新映像和重新启动全球网络系统。

根据Cloudflare的说法，这包括所有Atlassian服务器，包括Bitbucket、Jira和Confluence。尽管所有修复工作已于1月5日完成，但Cloudflare仍在积极关注软件强化以及凭证和漏洞管理。

供您参考，身份和访问管理服务提供商Okta于2023年10月23日报告了一起数据泄露事件，允许未经授权访问文件，包括会话令牌，这可用于劫持攻击。

攻击者在2023年9月28日至10月17日期间盗取了一个被盗帐户，通过访问Okta的支持案例管理系统来查看、更新和提取敏感数据。

Okta首席安全官David Bradbury透露，至少有134名客户受到此次泄露的影响，部分文件是包含会话令牌的HAR文件，可用于会话劫持攻击。

据报道，许多公司都成为Okta凭证被盗的目标，Cloudflare就是其中之一。此前，据报道Okta的客户之一1Password也成为攻击目标。2023年9月29日，1Password检测到可疑活动，威胁行为者使用窃取的会话令牌访问其Okta管理门户。