{"id":291273,"date":"2024-02-02T08:57:15","date_gmt":"2024-02-02T07:57:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291273"},"modified":"2024-02-02T15:58:19","modified_gmt":"2024-02-02T14:58:19","slug":"cloudflare-im-nov-2023-gehackt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/02\/cloudflare-im-nov-2023-gehackt\/","title":{"rendered":"Cloudflare im Nov. 2023 gehackt"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/02\/02\/cloudflare-hacked-in-nov-2023\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Das US-Unternehmen Cloudflare, welches ein CDN, Sicherheitsdienste und DNS-Dienste bereitstellt, wurde im November 2023 gehackt. Die Angreifer konnten durch ein Authentifizierungstoken auf einen Atlassian-Server zugreifen und dort auf das Confluence-Wiki, die Jira-Fehlerdatenbank und das Bitbucket-Quellcodeverwaltungssystem zugreifen. Es wird davon ausgegangen, dass es sich um staatliche Hacker handelt, die f\u00fcr den Angriff verantwortlich sind.<\/p>\n<p><!--more--><\/p>\n<h2>Was macht Cloudflare?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/10ef9c4fe5ca4c888a3193473f4717bf\" alt=\"\" width=\"1\" height=\"1\" \/>Das US-Unternehmen <a href=\"https:\/\/de.wikipedia.org\/wiki\/Cloudflare\" target=\"_blank\" rel=\"noopener\">Cloudflare<\/a> bietet zahlreiche Dienste rund um das Internet an. Von Cloudflare werden ein <a href=\"https:\/\/de.wikipedia.org\/wiki\/Content_Delivery_Network\" target=\"_blank\" rel=\"noopener\">Content Delivery Network<\/a>, Internetsicherheitsdienste und verteilte DNS-Dienste (<a href=\"https:\/\/de.wikipedia.org\/wiki\/Domain_Name_System\">Domain Name System<\/a>) bereitgestellt. Das Content Deliveriy Network liefert dann z.B. Webseiten eines Hosting-Anbieters aus, wenn ein Besucher eine Webseite abruft.<\/p>\n<h2>Hack im November 2023<\/h2>\n<p>Das Unternehmen Cloudflare, \u00fcber dessen Infrastruktur viele Webseiten ausgeliefert werden, hat in <a href=\"https:\/\/blog.cloudflare.com\/thanksgiving-2023-security-incident\" target=\"_blank\" rel=\"noopener\">dieser Mitteilung<\/a> bekannt gegeben, dass man im November 2023 Opfer eines Cyberangriffs geworden sei. Daten von Kunden seien keine betroffen, versichert das Unternehmen, welches den Fall inzwischen forensisch aufbereitet hat.<\/p>\n<p>Am 23. November 2023, Thanksgiving Day, entdeckte Cloudflare einen Bedrohungsakteur auf seinem selbst gehosteten Atlassian-Server. Das interne Sicherheitsteam leitete sofort eine Untersuchung ein, und sperrte den Zugang des Bedrohungsakteurs. Am Sonntag, den 26. November 2023, zogen man dann das Forensik-Team von CrowdStrike hinzu, um eine eigene, unabh\u00e4ngige Analyse durchzuf\u00fchren. CrowdStrike seine Untersuchung abgeschlossen, so dass die Details in einem Blog-Beitrag ver\u00f6ffentlicht werden.<\/p>\n<h3>Okta-Kompromittierung und Zugangstoken<\/h3>\n<p>Im Oktober 2023 hatte ich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/10\/21\/support-system-des-anbieters-von-cloud-authentifizierungsdiensten-okta-mit-gestohlenen-credentials-gehackt\/\">Okta Support-System mit gestohlenen Credentials gehackt<\/a> beschrieben, dass der Anbieter von Authentifizierungsdiensten in der Cloud, Okta, gehackt worden war. Dessen Support-System wurde mittels gestohlener Credentials kompromittiert. Der Hack betraf auch 1Passwort (siehe <a href=\"https:\/\/borncity.com\/blog\/2023\/10\/24\/okta-support-hack-betrifft-auch-1passwort-konto\/\">Okta Support-Hack betrifft auch 1Passwort-Konto<\/a>).<\/p>\n<p>Aus dem Okta-Hack haben die Angreifer wohl ein Zugangstoken f\u00fcr den Cloudflare-Zugriff auf den Atlassian-Server erbeutet. Die Angreifer nutzten dieses Zugangstoken und drei Dienstkontenanmeldeinformationen aus der Okta-Kompromittierung vom Oktober 2023 f\u00fcr den Hack. Cloudflare war es wohl nicht gelungen, diese Zugangstoken nach dem Okta-Hack zu tauschen.<\/p>\n<h2>Zugriff auf den Atlassian-Server<\/h2>\n<p>Nach der forensischen Analyse verschaffte sich ein Bedrohungsakteur zwischen dem\u00a0 14. bis 17. November 2023 einen \u00dcberblick und griff dann auf das interne Cloudflare Wiki zu. Diese verwendet Atlassian Confluence. Weiterhin finden Zugriffe auf die Fehlerdatenbank (Atlassian Jira) statt.\u00a0 Am 20. und 21. November 2023 konnten die Forensiker weitere Zugriffe feststellen. Es wird vermutet, das es zum Testen des Zugriffs geschah, um sicherzustellen, dass eine Verbindung hergestellt werden konnte.<\/p>\n<p>Am 22. November 2023 richteten die Angreifer mithilfe von ScriptRunner f\u00fcr Jira einen dauerhaften Zugriff auf den Atlassian-Server ein. Dann verschafften sich die Angreifer Zugang zum Cloudfaler Quellcode-Verwaltungssystem (das Atlassian Bitbucket verwendet) und versuchten erfolglos, auf einen Konsolenserver zuzugreifen, der zwar Zugriff auf das Datenzentrum hatte. Aber Cloudflare hatte dieses Rechenzentrum in S\u00e3o Paulo, Brasilien, noch nicht in Betrieb genommen.<\/p>\n<p>Am 23. November 2023 fiel der Angriff auf und es wurden Ma\u00dfnahmen eingeleitet, um den Bedrohungsakteur auszusperren. Laut der Analyse von CrowdStrike sind alle Zugriffe und Verbindungen der Bedrohungsakteure seit dem 24. November beendet. Der letzte Nachweis von Aktivit\u00e4ten erfolgte am 24. November um 10:44 Uhr Ortszeit.<\/p>\n<p>Weitere Details zur Analyse und des Angriffs lassen sich im <a href=\"https:\/\/blog.cloudflare.com\/thanksgiving-2023-security-incident\" target=\"_blank\" rel=\"noopener\">Cloudflare-Blog-Beitrag<\/a> abrufen. Cloudflare geht davon aus, dass bei diesem Sicherheitsvorfall mutma\u00dflich staatlich gesponsorte Hacker beteiligt waren. Das schlie\u00dft man aus der \u00fcberlegten und methodischen Vorgehensweise.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Das US-Unternehmen Cloudflare, welches ein CDN, Sicherheitsdienste und DNS-Dienste bereitstellt, wurde im November 2023 gehackt. Die Angreifer konnten durch ein Authentifizierungstoken auf einen Atlassian-Server zugreifen und dort auf das Confluence-Wiki, die Jira-Fehlerdatenbank und das Bitbucket-Quellcodeverwaltungssystem zugreifen. Es wird davon ausgegangen, &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/02\/02\/cloudflare-im-nov-2023-gehackt\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-291273","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291273","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=291273"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291273\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=291273"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=291273"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=291273"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}