Cloudflare, ein führender Anbieter im Bereich Content Delivery Network (CDN) und DNS-Dienste, spielt eine essentielle Rolle in der Struktur des globalen Internets. Aufgrund seiner Bedeutung ist die Sicherheit von Cloudflare von höchster Priorität. Ende 2023 stellte das Unternehmen jedoch fest, dass es Ziel eines ausgeklügelten Cyberangriffs geworden war. Nun gibt der CDN-Bertreiber Einblicke, wie die Attacke abgelaufen und welche Erkenntnisse man daraus gezogen hat.
Christoph Sammer
Im November 2023 entdeckte Cloudflare laut eigenen Angaben ungewöhnliche Aktivitäten innerhalb seiner Netzwerkinfrastruktur. Eine sofort eingeleitete Untersuchung enthüllte, dass unbekannte Angreifer, die vermutlich staatlich unterstützt wurden, Zugang zu Teilen des Netzwerks erlangt hatten. Die Angreifer konnten sich über mehrere Tage hinweg in verschiedenen Systembereichen aufhalten, ohne unmittelbar entdeckt zu werden.
Cloudflare bestätigt, dass durch den Angriff keine Kundendaten oder -systeme kompromittiert wurden. Dank der implementierten Zero-Trust-Infrastruktur waren nur spezifische interne Bereiche betroffen. Zu den kompromittierten Ressourcen gehörten das interne Wiki, die Bug-Datenbank und ein Atlassian-Server, der Sourcecode beherbergte. Zudem wurde festgestellt, dass die Angreifer Zugriff auf ein noch nicht aktives Datencenter in Brasilien hatten. Ihr Hauptinteresse schien Informationen über Cloudflares interne Architektur und die Sicherheitsmechanismen des globalen Netzwerks zu sein.
Die Ermittlungen ergaben, dass die Eindringlinge durch die Ausnutzung eines Zugriffstokens und drei Service-Accounts in das System gelangten. Diese Zugangsdaten waren im Rahmen eines früheren Angriffs auf den Dienstleister Okta im selben Monat entwendet worden. Cloudflare räumt ein, dass nach dem Okta-Vorfall nicht alle Zugangsdaten rechtzeitig geändert wurden, was den Angreifern den Weg ebnete.
Cloudflare hat umgehend auf den Vorfall reagiert und die betroffenen Systeme bereinigt. Darüber hinaus wurden die Sicherheitsprotokolle überprüft und verstärkt, um ähnliche Vorfälle in der Zukunft zu verhindern. Der Vorfall unterstreicht die Notwendigkeit kontinuierlicher Wachsamkeit und Anpassungsfähigkeit in der dynamischen Landschaft der Cybersicherheit.
Bedeutung von Incident Management
Erlend Depine, Head of ATI & Penetration Testing, bei Technologiekonzern BearingPoint (hier mehr lesen zu: Diese 14 Sicherheitstools empfiehlt ein Cybersecurity-Experte) in Premstätten bei Graz, ordnet ein: „Dieser Vorfall unterstreicht die Bedeutung eines umfassenden Incident Managements – einschließlich der aktiven und von uns sogenannten ‚passiven‘ Komponenten. Es ist inakzeptabel, dass Zugänge nach einem Sicherheitsvorfall unverändert bleiben, ein Fehlverhalten, das selbst den größten Organisationen widerfahren kann. Dies unterstreicht nicht nur die Notwendigkeit einer sofortigen und angemessenen Reaktion auf Sicherheitsvorfälle, sondern betont auch die Wichtigkeit, Sicherheitsereignisse, die uns nicht direkt betreffen, zu beobachten, zu bewerten und gegebenenfalls darauf zu reagieren.“
Der Experte streicht in diesem Zusammenhang die Bedeutung von „passivem“ Incident-Management hervor: „Dies steht für unsere Strategie, auch externe Sicherheitsvorfälle zu überwachen. Dies umfasst das Bewerten von Informationen über neue Sicherheitsbedrohungen, wie etwa das Durchsickern von Passwortsammlungen, und das Ergreifen von Maßnahmen, wenn nötig, wie zum Beispiel das Überprüfen unserer Firmenkonten auf Betroffenheit, das Einschätzen der Relevanz eines Leaks und das Initiieren von Gegenmaßnahmen wie Threat Hunting oder die Anordnung von Passwortänderungen. Durch diese proaktive und präventive Herangehensweise stärken wir unsere Sicherheitspostur und schützen unsere Unternehmensressourcen sowie die Daten unserer Kunden vor potenziellen Bedrohungen.“