Cloudflare, el líder en infraestructura web, ha revelado públicamente los detalles de un ataque altamente sofisticado a un Estado-nación que desplegado entre noviembre 14 y 24, 2023. los agresores, empleando credenciales robadas, obtuvo acceso no autorizado a Cloudflare servidor atlasiano, permitiéndoles violar la documentación y acceder a una cantidad limitada de código fuente. La compañia, reconocer la gravedad del incidente, respondió proactivamente con una reparación de seguridad integral.
Anatomía de la brecha de Cloudflare
El ataque del estado-nación a Cloudflare mostró un alto nivel de sofisticación, caracterizado por un período de reconocimiento de cuatro días dirigido a los portales Atlassian Confluence y Jira. Durante esta fase, el actor de amenazas creó una cuenta de usuario maliciosa de Atlassian, asegurando acceso persistente al servidor. El objetivo final de la infracción era comprometer el sistema de gestión del código fuente de Bitbucket., logrado mediante el uso del marco de simulación de adversario Sliver.
Como resultado del ataque, aproximadamente 120 Se accedió a los repositorios de códigos., con un estimado 76 Se cree que fue exfiltrado por los atacantes.. Estos repositorios contenían principalmente información relacionada con el funcionamiento de las copias de seguridad., la configuración y gestión de la red global, gestión de identidad en Cloudflare, acceso remoto, y el uso que hace la empresa de Terraform y Kubernetes. Un detalle digno de mención es que una pequeña cantidad de repositorios contenían secretos cifrados., que se rotaron rápidamente a pesar de su cifrado sólido.
los atacantes, cuyo motivo era probable que obtuviera persistente y generalizado acceso a la red global de Cloudflare, logró acceder a una variedad de información crucial. Esto incluyó información sobre cómo funcionan las copias de seguridad., Los detalles de la configuración de la red global., y la gestión de identidad en Cloudflare. Adicionalmente, detalles sobre el acceso remoto, el uso de Terraform y Kubernetes, y se buscaban más.
El ataque se inició solo con un token de acceso comprometido
El ataque, iniciado con el compromiso de solo un token de acceso y tres credenciales de cuenta de servicio, demostró un lapso significativo en la rotación de credenciales. Estas credenciales, asociado con los servicios web de Amazon (AWS), Bitbucket de Atlassian, Moveworks, y hoja inteligente, fueron robados durante el mes de octubre 2023 Hack del sistema de gestión de casos de soporte de Okta.. Cloudflare reconoció su supervisión al no rotar estas credenciales, asumiendo erróneamente que no estaban en uso.
A pesar de la gravedad del incidente, Cloudflare tomó medidas rápidas. Más que 5,000 Se rotaron las credenciales de producción., Los sistemas de prueba y estadificación se segmentaron físicamente., y se realizaron triajes forenses 4,893 sistemas. También, Se cambiaron las imágenes de todas las máquinas de la red global de Cloudflare y se reiniciaron.. La empresa también solicitó una evaluación independiente del incidente., contratar a la empresa de ciberseguridad CrowdStrike para realizar una evaluación exhaustiva.
Si bien la infracción permitió el acceso solo al entorno Atlassian de Cloudflare utilizando las credenciales robadas, Los atacantes revisaron las páginas wiki., problemas con la base de datos de errores, y repositorios de código fuente. Su objetivo era recopilar información sobre la arquitectura., medidas de seguridad, y gestión de la red global de Cloudflare. La empresa es ahora reforzando sus medidas de seguridad y aprender de este sofisticado ataque para fortalecer aún más sus defensas contra tales amenazas en el futuro..