Cloudflareが社内Wikiなどをホストするサーバーへ不正アクセスされたことを発表、分析・対応済みでユーザーデータやシステムへの影響はなし

Cloudflareが2023年11月23日に社内Wikiなどをホストするサーバーへ不正アクセスが行われたことを発表し、同時に分析結果をブログに掲載しました。
Thanksgiving 2023 security incident
https://blog.cloudflare.com/thanksgiving-2023-security-incident

攻撃を受けたのはCloudflareが社内Wikiなどを展開している自己ホスト型のAtlassianサーバー。2023年11月23日に攻撃を検出後、Cloudflareのセキュリティチームは直ちに攻撃者のアクセスを遮断し、調査を開始しました。攻撃の3日後である11月26日にはCrowdStrikeのフォレンジックチームを迎え入れて分析を実施したとのこと。
そして2024年1月31日に調査が完了しました。調査の結果、アクセス制御やファイアウォールルール、ハードウェアセキュリティキーなどのおかげで社内ネットワークの横方向への移動能力が制限されており、Cloudflareのユーザーデータやシステムは攻撃の影響を受けていないことが明らかになったと述べられています。

攻撃の時系列は下記の通り。
◆2023年10月18日
アクセス管理サービスを運営するOktaのシステムが攻撃を受け、数千件の認証情報が流出しました。Cloudflareはこの時に流出した認証情報のうちほとんどを変更しましたが、1件のサービストークンと3件のサービスアカウントを変更していなかったとのこと。変更されなかった認証情報は下記の通り。
・Atlassianシステムへのリモートアクセスを行うMoveworksサービストークン
・Atlassian Jiraインスタンスへの管理アクセス権を持つSmartsheetサービスアカウント
・ソースコード管理システムへのアクセス用Bitbucketサービスアカウント
・グローバルネットワークへのアクセス権がなく、ユーザーや機密データなども存在しないAWS用の認証情報
Cloudflareはこれらの認証情報を変更しなかった理由として、「誤って未使用であると認識されていたため」と述べています。
◆2023年11月14日 9時22分49秒
攻撃者は上記の認証情報を利用して、Cloudflareのシステムの調査・偵察を開始し、資格情報の使用方法とアクセス可能なシステムを探し始めました。Oktaインスタンスへのログイン失敗やCloudflareダッシュボードへのアクセスが拒否されたログが残っているとのこと。
◆2023年11月15日 16時28分38秒
攻撃者はMoveworksサービストークンを使用してゲートウェイ経由で認証を行い、Cloudflareが社内Wikiとして使用している「Atlassian Confluence」およびバグデータベースの「Atlassian Jira」へアクセスすることに成功しました。また、Smartsheetサービスアカウントを使用してAtlassian製のシステム全体へアクセスし始めたとのこと。
攻撃者はCloudflareのグローバルネットワークの構成や管理についての情報を検索し、205万9357件のJiraチケットのうち36件のチケットと、19万4100ページの社内Wikiのうち202ページにアクセスしました。アクセスされた内容は10月のOktaからの認証情報流出事件へのCloudflareの対応に関するJiraチケットのほか、脆弱性管理、シークレットローテーション、MFAバイパス、ネットワークアクセス、パスワードのリセット、リモートアクセスなど主にCloudflareのシステム関係で、ユーザーデータやユーザーの構成については標的ではなかったとのこと。

◆2023年11月16日 14時36分37秒
攻撃者はSmartsheet認証情報を使用し、通常のCloudflareユーザーに見えるAtlassianアカウントを作成しました。攻撃者は続いてこのアカウントをAtlassian内のいくつかのグループに追加し、Smartsheetサービスアカウントが削除された場合でもAtlassian環境にアクセスできるようにしています。
◆2023年11月22日 14時18分22秒
攻撃者はScriptRunner for Jiraを使用してAtlassianサーバーへ永続的にステルスアクセスを可能にするフレームワークをインストール。その後、攻撃者はまだ運用開始前でアクセス制御が行われていないサンパウロデータセンターへアクセスを試みましたが失敗に終わっています。
翌日の23日には1万1904件のコードリポジトリのうち120件のリポジトリが閲覧されました。これらのリポジトリはバックアップの仕組みやグローバルネットワークの構成・管理、IDの仕組み、リモートアクセス、TerraformおよびKubernetesの使用に関係するもので、コードにシークレットが記載されているものも存在していたとのこと。
◆2023年11月23日 15時58分～
15時58分、攻撃者がSmartsheetサービスアカウントを管理者グループに追加したため、16時にセキュリティチームに対して自動アラートが送信されました。16時12分にはCloudflareのセキュリティ運用センター(SOC)が調査を開始し、16時35分にSmartsheetサービスアカウントが非アクティブ化されたとのこと。17時23分に攻撃者が作成したAtlassianユーザーアカウントが発見され、このアカウントも非アクティブ化されています。
17時43分にCloudflareの内部インシデントが宣言され、21時31分に攻撃者の既知のIPアドレスをブロックするファイアウォールルールが設定されたとのこと。翌日の11月24日11時59分にAtlassianサーバーへインストールされていたステルスアクセス用フレームワークが削除され、攻撃者の活動も途絶えました。

攻撃者は一連の攻撃の間、Cloudflareの他のさまざまなシステムへアクセスを試みましたが、アクセス制御やファイアウォールルールが設定されていたり、独自のゼロトラストツールによってハードウェアセキュリティキーの使用が強制されていたりしたため全てのアクセスが失敗。「攻撃者のアクセスはAtlassian製品およびAtlassianが実行されていたサーバーに限定されていた」とCloudflareは結論付けています。
このインシデントによるサービス運営への影響はほとんどないものの、Cloudflareは社内のドキュメントやソースコードへアクセスされた点を重く受け止め、インシデントの影響を限定することと、将来の高度な攻撃を防ぐための十分な準備が行われていることの確認を一か月以上にわたって最優先のタスクとして取り組んでいたとのこと。
攻撃者が不正アクセスを試みていたブラジルのデータセンターの機器については検査の結果全く問題は見つかりませんでしたが、100％安全であることを保証するため、ハードウェアをメーカーに返却して新たなものへと交換したそうです。
なお、今回の攻撃者の正体について、Cloudflareは「おそらくCloudflareのグローバルネットワークへの永続的かつ広範なアクセスの取得を目的とした国家によるもの」と述べています。