背景／Photo by Joshua Sortino on Unsplash

Cloudflare聘請資安公司CrowdStrike，針對自託管Atlassian伺服器在2023年11月23日遭到攻擊者入侵事件進行調查，完整調查報告已經出爐。報告指出這次的攻擊行動是由經驗豐富，而且國家所資助的攻擊者所為，但因為在Cloudflare零信任架構的保護下，官方表示，客戶資料與系統都沒有因為該攻擊事件受影響。

Cloudflare被攻擊事件，要追溯至Okta在2023年10月被入侵，攻擊者從Okta系統獲得一組Cloudflare憑證存取權限。這些洩漏的憑證本應該全部輪換，但是Cloudflare漏了1個服務令牌和3個服務帳戶的憑證。

其包含一個Moveworks服務令牌，具有遠端存取Cloudflare Atlassian系統的權限，一個基於SaaS的Smartsheet應用程式所使用的服務帳戶憑證，能夠用於存取Atlassian Jira執行個體，第二個帳戶是Bitbucket服務帳戶，用於存取程式碼管理系統，最後一個則是AWS服務帳戶，但為無法存取全球網路、客戶和敏感資料的環境。

這些服務令牌和憑證就是攻擊者進入Cloudflare系統，並且試圖建立持久部署的關鍵，Cloudflare強調，這並非Atlassian、AWS、Moveworks或Smartsheet的錯誤，而是Cloudflare沒有輪換憑證的問題。

攻擊者先是在11月14日到17日進行偵查，存取Cloudflare內部的wiki以及錯誤資料庫，11月20日與11月21日測試存取以確認仍可連線。真正的攻擊行動從11月22日開始，攻擊者使用ScriptRunner for Jira建立對Atlassian伺服器的持久存取，並且獲得程式碼管理系統Atlassian Bitbucket存取權限，並嘗試存取Cloudflare巴西資料中心控制臺伺服器，但是並未成功。

所有攻擊存取和連線都在11月24日終止，雖然攻擊者在這個攻擊行動中所造成的影響有限，但Cloudflare嚴肅看待該事件，畢竟攻擊者使用了偷來的憑證，存取Atlassian伺服器上的部分檔案和程式碼。在Cloudflare、業界與政府合作調查下，確認這次攻擊來自國家資助攻擊者，其目的是要獲得Cloudflare全球網路持久且廣泛的存取能力。

經過CrowdStrike的調查，並沒有發現更多的攻擊者活動，但Cloudflare仍全面輪換所有產品憑證，並且進行徹底的檢查。Cloudflare還將巴西資料中心設備，交由供應商鑑識團隊檢查，確認攻擊者沒有成功入侵的痕跡，不過即便如此，Cloudflare慎重起見仍更換了硬體。