2024年2月2日、Cloudflareは同社が運用するAtlassianサーバーが2023年11月に不正アクセスの被害にあっていたとして、その対応と調査結果について公表しました。ここでは関連する情報をまとめます。
CloudflareのAtlassianサーバーに不正アクセス
- 不正アクセスの被害が確認されたのは、Cloudflareが社内Wikiやバグ管理で使用していたオンプレミスのAtlassianサーバーおよびAtlassian製品。約10日間にわたって同社システムに対して攻撃者による活動が行われていた。
- 攻撃者は有効となっていたMoveworks用のサービストークンを悪用し、ゲートウェイ経由で認証後にAtlassian JiraとConfluenceに対して不正アクセスを行っていた。さらにSmartsheet用アカウントを使用してCloudflareのユーザーに見せかけたアカウントを作成。このユーザーアカウントをAtlassianの複数のグループに追加した。(この行動についてCloudflareは攻撃者が永続的なアクセス確保を目的に行っていたと説明。)
- Smartsheet用のアカウントはAtlassian Jiraの管理者権限が付与されていたことから、攻撃者はAtlassianサーバー上にSliver Adversary Emulation FrameworkのインストールをScriptRunner for Jira プラグインを使用して行っていた。(関連は不明だがこの活動は感謝祭前日に行われた。)Sliverは、脅威アクターやRedteamが対象を制御するために広くしているフレームワークで、インストールされたデバイスに対して永続的かつ隠密性をもった接続が可能となる。
- 攻撃者はこインストールしたSliverを通じて、Atlassianが稼働するサーバーへの継続的にアクセスを確保し、このサーバーを踏み台にラテラルムーブメントの試行を行っていた。同社のサンパウロにあるデータセンターはまだ運用が開始されておらず、アクセスコントロールも強制されていなかったことから、攻撃者はこのデータセンターのコンソールサーバーに対してアクセス試行を行っていた。
| 不正アクセスの対象 | 攻撃者によるアクセス結果 |
|---|---|
| Oktaインスタンス | ログイン試行するも失敗。 |
| Cloudflare ダッシュボード | アクセス拒否され失敗。 |
| AWS環境 | アクセス成功。但しセグメント化されているためグローバルネットワークや顧客データにはアクセス出来ず。 |
| Atlassian Jira (バグデータベース) | 36件のJiraチケットを閲覧される。 (Jiraチケットは全部で205万9,357件) |
| Atlassian Confluence (社内用Wiki) | 202のWikiページを閲覧される。(Wikiページは全部で19万4,100件) |
| Atlassian Bitbucket (ソースコード管理システム) | 120リポジトリを閲覧し、このうち76件がgitアーカイブ通じてAtlassianのサーバー上にダウンロード。これらが外部に流出したかは確認できず。(リポジトリは全部で1万1,904件) |
| サンパウロ データセンターのコンソールサーバー | アクセス拒否され失敗。 |
- Cloudflareは、不正アクセスの影響は限定的として、Atlassianサーバー以外への影響はないと断言。具体的に影響がないと言及がされていたのは、グローバルネットワーク、データセンター、SSLキー、顧客データベース・コンフィグ情報、同社および顧客がデプロイしたCloudflare Workers、AIモデル、ネットワークインフラ、Workes KV、R2、Quicksilverなどのデータストア。
原因は未使用と誤認した対処漏れ
- 2023年10月のOktaのセキュリティインシデントで流出した認証情報のうち、変更を行っていなかった4件の一部を悪用されたことが原因。
- 対処漏れが生じたアカウントは次の1件のサービストークンと3件のサービスアカウントの計4つ。
- Atlassian システムへのリモート アクセスを許可する Moveworks用のサービス トークン
- Atlassian Jira インスタンスへの管理アクセス権を持つ SaaS ベースの Smartsheet アプリケーション用のサービス アカウント
- ソース コード管理システムへのアクセスに使用された Bitbucket用のサービス アカウント
- Cloudflare Apps マーケットプレイス強化目的に使用されるAWS用のサービスアカウント
- 対処漏れが生じた理由について、Cloudflareは未使用のアカウントであると誤認していたと説明。Oktaの件が発覚した当初、Cloudflareは2件の従業員アカウントに対して侵害が確認されるも、速やかに対応を行い封じ込めが行えたとしており、Oktaの利用者向け呼びかけを行っていた推奨策において、すべてのパスワードリセットが有効であることを確認し、疑念のあるパスワードリセットを強制すると言及していた。
Cloudflareの対応
- Cloudflareは初動対応後の11月27日より同社の技術スタッフの多くを投入した「Code Red」と呼称する事案対応プロジェクトを実施した。
- Code Redの目的は将来的に侵入が行われないか安全性を確認することと、攻撃者によるアクセスを不可とするように同社環境内の様々な制御を強化、検証、修復を行うこと。さらに全てのシステム、アカウント、ログを継続して調査し、永続的なアクセスを攻撃者が保有していないことを確認し、そして攻撃者によって行われていた全体像の完全な把握を行うこととしていた。
| 対応の対象 | Cloudflareによる対応内容 |
|---|---|
| 攻撃者によるアクセスを確認したシステム等 | ・本番環境の認証情報(5,000件超の個別認証情報)の変更 ・テストおよびステージング環境をセグメント化 ・4,893のシステムに対してフォレンジックトリアージ。 |
| Atlassian製品(Jira,Confluence,Bitucket) | すべてのAtlassian製品に対し、グローバルネットワーク内環境の再イメージ化と再起動 |
| Jiraチケット | ・シークレット情報の存在確認および発見後の対応 |
| Wikiページ | ・HARファイルを調査しトークンが含まれていた場合は対応 |
| ダウンロードされたリポジトリ | ・流出したと想定し対応 ・ハードコードのシークレット情報の変更 ・脆弱性及び攻撃者による悪用方法を検証 |
| サウパウロ データセンター | ・DCの機器をベンダーに返却し不正アクセスの有無や永続性の実装が行われていないか調査 ・何も検出されなかったが、ハードウェアを交換。 |
- Cloudflareは影響を受けたソースコードに対して、大量にオープンソース化を行っていることや、使用するアルゴリズム、技術情報についてBlogを通じて発信を行っており、ソフトウエア会社のものと比較して貴重ではないと判断。ソースコードに含まれる機密情報や脆弱性に焦点を当てた対応を進めたと説明。
- 今回の件を受け、Cloudflareは更新が行われていないソフトウェアや攻撃者によって作成された恐れのあるアカウント、さらに未使用だが有効となっている従業員のアカウントの調査も行った。
独立した評価目的でCrowdStrikeに調査依頼
- Cloudflareは自社でも調査を進める一方で、第三者による評価を目的にCrowdStrikeに対してもフォレンジック調査の依頼を行っていた。これは攻撃者がCloudflareのシステム内に残っている可能性を踏まえた調査を含むもの。
- CrowdStrikeでも攻撃者の活動範囲の特定が行われたが、Cloudflareが把握していた活動以上の情報は確認されなかったことから、11月24日10時44分を攻撃者による最終的な活動時間と判断。
国家関与の攻撃者と推定
- Cloudflareは、Atlassianサーバーへの不正アクセス実行者について、思慮深く系統的な方法で行動する、グローバルネットワークへの永続的かつ広範なアクセスの取得を目的とした国家が関与した脅威アクターの可能性があると言及。
- 攻撃者は、脆弱性管理、シークレット情報の変更、MFA回避、ネットワーク アクセス、Oktaインシデントを受けたCloudflare社内の対応に関連したJiraチケットへのアクセスを行っていた。
- 社内Wiki の検索と攻撃者によってアクセスされたページは、パスワードリセット、リモート アクセス、システム構成、Salt の使用などCloudflareのシステム全般に対し非常に興味を持っていたとCloudflareは説明。一方で顧客データや顧客の構成は標的にしたものではなかったとも分析した。
- Cloudflareは、攻撃者によってアクセスされていた一連の対象より、より深い足場を築くためにグローバルネットワークのアーキテクチャやセキュリティ、管理に関連する情報を探していたと分析。
- Cloudflareは攻撃者のインディケーター情報を公開している。
193.142.58[.]126 (攻撃者の主な攻撃インフラ)
198.244.174[.]214 (SliverのC2サーバー)
idowall[.]com (Sliverのペイロード配布元)
bdd1a085d651082ad567b03e5186d1d46d822bb7794157ab8cce95d850a3caaf (Sliver ペイロード)
関連タイムライン
| 日時 | 出来事 |
|---|---|
| 2023年10月18日 | Oktaのセキュリティインシデント発生。Cloudflareの認証情報が流出。 |
| 2023年11月14日 9時22分 | 攻撃者がCloudflareのシステムの調査と偵察行為を開始。 |
| 2023年11月15日 16時28分 | 攻撃者がCloudflareのAtlassian製品へのアクセスに成功。 |
| 2023年11月16日 14時36分 | 攻撃者がAtlassianのユーザーアカウントを作成。 |
| 2023年11月17日 14時33分~11月20日 9時26分 | 攻撃者がCloudflareのシステムに対するアクセスを休止。 |
| 2023年11月22日 14時18分 | 攻撃者がAtlassianサーバー上にバックドアを仕込み持続的なアクセスを確保。 |
| 2023年11月23日 15時58分 | 攻撃者がSmartsheetのサービスアカウントを管理者グループに追加。 |
| 同日 16時 | Cloudflareのセキュリティチームにアカウント変更に関する自動アラートが送信。 |
| 同日 16時12分 | アラート発生を受けて、Cloudflare SOCが調査を開始。 |
| 同日 16時35分 | Cloudflare SOCがSmartsheetのサービスアカウントを無効化。 |
| 同日 17時23分 | Cloudflare SOCが攻撃者が作成したAtlassianのユーザーアカウントを把握し、アカウントを無効化。 |
| 同日 21時31分 | CloudflareのFWに攻撃者のIPアドレスを遮断対象に追加。 |
| 2023年11月24日 10時44分 | (攻撃者の活動が最後に観測された日時) |
| 同日 11時59分 | 攻撃者が用意したバックドアが削除される。 |
| 2023年11月26日 | CloudflareがCrowdStrikeへフォレンジック調査を依頼。 |
| 2023年11月27日 | Cloudflare内で安全性の確認を進めるため、Code Redと呼称する対応プロジェクトを開始。 |
| 2024年1月5日 | Code Redによる当面の対応が完了。 |
| 2024年2月1日 | CrowdStrikeの調査が完了。 |
| 2024年2月2日 | Cloudflareが社内システムへの不正アクセスについて調査結果を公表。 |
更新履歴
- 2024年2月5日 AM 新規作成
