2023 年 10 月 18 日(星期三),我們發現我們的系統遭到攻擊,並且可以追溯到 Okta——威脅行為者利用 Okta 洩漏的驗證權杖轉向 Cloudflare 的 Okta 執行個體。雖然這是一次令人不安的安全事件,但我們安全事件回應團隊 (SIRT) 的即時偵測和及時回應遏制了這次攻擊,並將對 Cloudflare 系統和資料的影響降至最低。由於我們反應迅速,我們已確認沒有 Cloudflare 客戶資訊或系統受到此事件的影響。Okta 目前已就這一事件發表了公開聲明。
這是 Cloudflare 第二次受到 Okta 系統入侵事件的影響。2022 年 3 月,我們在部落格中介紹了我們對 Okta 入侵事件如何影響 Cloudflare 的調查。在那次事件中,我們得出的結論是,威脅行為者無法存取我們的任何系統或資料——Cloudflare 使用硬體金鑰進行多重要素驗證阻止了這次攻擊。
緩解本週事件的關鍵是我們團隊的早期偵測和立即回應。事實上,在 Okta 通知我們之前,我們已經就其系統遭到入侵的情況聯絡了他們。攻擊者使用 Okta 的開放工作階段並具有管理權限,存取了我們的 Okta 執行個體。我們使用 Cloudflare Zero Trust Access、Gateway 和資料丟失預防以及 Cloudforce One 威脅研究來驗證事件的範圍,並在攻擊者獲得對客戶資料、客戶系統或我們的生產網路的存取權限之前將其遏制。有了這種信心,我們能夠在威脅行為者建立持久性之前快速緩解事件。
根據 Okta 的聲明,威脅行為者存取了 Okta 的客戶支援系統,並檢視了某些 Okta 客戶在最近的支援案例過程中上傳的檔案。在我們的案例中,威脅行為者似乎能夠從 Cloudflare 員工建立的支援工單中劫持工作階段權杖。使用從 Okta 擷取的權杖,威脅行為者於 10 月 18 日存取了 Cloudflare 系統。在這次複雜的攻擊中,我們觀察到威脅行為者入侵了 Okta 平台內兩個獨立的 Cloudflare 員工帳戶。我們在內部偵測到這項活動的時間比 Okta 通知我們此次入侵事件的時間早了超過 24 小時。偵測到此次事件後,我們的 SIRT 快速確定了入侵的完整範圍並遏制了這起安全事件。Cloudflare 的 Zero Trust 架構可以保護我們的生產環境,這有助於防止對我們的客戶造成任何影響。
對 Okta 的建議
我們敦促 Okta 考慮實作以下最佳做法,包括:
- 認真對待任何入侵報告並立即採取行動限制損失;在本次事件中,Okta 於 2023 年 10 月 2 日首次收到 BeyondTrust 的通知,但攻擊者至少在 2023 年 10 月 18 日之前仍然可以存取其支援系統。
- 當貴方發現系統遭到入侵而影響客戶時,請及時、負責任地向客戶揭露相關資訊。
- 要求硬體金鑰來保護所有系統,包括第三方支援提供者。
對於像 Okta 這樣的關鍵安全服務提供者,我們認為遵循這些最佳做法是非常重要的。
對 Okta 客戶的建議
如果您是 Okta 客戶,我們建議您聯繫他們以獲取有關對貴組織的潛在影響的更多資訊。我們也建議採取以下行動:
- 為所有使用者帳戶啟用硬體 MFA。密碼本身並不能提供必要的攻擊防護等級。我們強烈建議使用硬體金鑰,因為其他 MFA 方法可能容易受到網路釣魚攻擊。
- 調查並回應:
- Okta 執行個體所有意料之外的密碼和 MFA 變更。
- 可疑的支援啟動事件。
- 確保所有密碼重設均有效,並強制對任何可疑的密碼進行重設。
- 任何可疑的 MFA 相關事件,確保使用者的帳戶設定中僅存在有效的 MFA 金鑰。
- 監控:
- 建立的新 Okta 使用者。
- 重新啟用的 Okta 使用者。
- 所有工作階段都有與其關聯的適當驗證。
- 所有 Okta 帳戶和權限變更。
- MFA 原則複寫、MFA 變更和 MFA 移除。
- 敏感應用程式的委託。
- 存取租用戶的供應鏈提供者。
- 查看工作階段過期原則以限制工作階段劫持攻擊。
- 利用工具驗證連接到關鍵系統的裝置,例如 Cloudflare Access 裝置狀態檢查。
- 為您的偵測和監控策略實施縱深防禦。
這次入侵後,Cloudflare 的安全和 IT 團隊繼續保持警惕。如果 Okta 披露或透過其他記錄分析發現更多資訊,我們將發布此帖子的更新。