Cloudflare, líder em infraestrutura web, revelou publicamente os detalhes de um ataque altamente sofisticado de um Estado-nação que desdobrado entre novembro 14 e 24, 2023. Os agressores, empregando credenciais roubadas, obteve acesso não autorizado ao Cloudflare Servidor Atlassiano, permitindo-lhes violar a documentação e acessar uma quantidade limitada de código-fonte. A empresa, reconhecendo a gravidade do incidente, respondeu proativamente com um reparo de segurança abrangente.
Anatomia da violação Cloudflare
O ataque do Estado-nação à Cloudflare exibiu um alto nível de sofisticação, caracterizado por um período de reconhecimento de quatro dias direcionado aos portais Atlassian Confluence e Jira. Durante esta fase, o agente da ameaça criou uma conta de usuário desonesta da Atlassian, protegendo acesso persistente ao servidor. O objetivo final da violação era comprometer o sistema de gerenciamento de código-fonte do Bitbucket, alcançado através do uso da estrutura de simulação de adversário Sliver.
Como um resultado do ataque, aproximadamente 120 repositórios de código foram acessados, com uma estimativa 76 acredita-se que tenha sido exfiltrado pelos agressores. Esses repositórios continham principalmente informações relacionadas ao funcionamento dos backups, a configuração e gerenciamento da rede global, gerenciamento de identidade na Cloudflare, acesso remoto, e o uso de Terraform e Kubernetes pela empresa. Um detalhe digno de nota é que um pequeno número de repositórios continha segredos criptografados, que foram prontamente alternados apesar de sua criptografia robusta.
Os atacantes, cujo motivo provavelmente obteria resultados persistentes e generalizados acesso à rede global da Cloudflare, conseguiu acessar uma série de informações cruciais. Isso incluiu insights sobre como os backups funcionam, os detalhes da configuração da rede global, e o gerenciamento de identidade na Cloudflare. além do que, além do mais, detalhes sobre acesso remoto, o uso de Terraform e Kubernetes, e mais foram procurados.
O ataque foi iniciado apenas com um token de acesso comprometido
O ataque, iniciado com o comprometimento de apenas um token de acesso e três credenciais de conta de serviço, demonstrou um lapso significativo na rotação de credenciais. Essas credenciais, associado à Amazon Web Services (AWS), Bitbucket Atlassiano, Moveworks, e Smartsheet, foram roubados durante o mês de outubro 2023 hack do sistema de gerenciamento de casos de suporte da Okta. A Cloudflare reconheceu sua supervisão ao não alternar essas credenciais, assumindo erroneamente que eles não foram usados.
Apesar da gravidade do incidente, Cloudflare tomou medidas rápidas. Mais que 5,000 credenciais de produção foram rotacionadas, os sistemas de teste e preparação foram segmentados fisicamente, e triagens forenses foram realizadas em 4,893 sistemas. Além disso, todas as máquinas da rede global da Cloudflare foram recriadas e reinicializadas. A empresa também buscou uma avaliação independente do incidente, envolver a empresa de segurança cibernética CrowdStrike para realizar uma avaliação completa.
Embora a violação permitisse acesso apenas ao ambiente Atlassian da Cloudflare usando as credenciais roubadas, os invasores vasculharam as páginas wiki, problemas de banco de dados de bugs, e repositórios de código-fonte. Seu foco era coletar informações sobre a arquitetura, medidas de segurança, e gerenciamento da rede global da Cloudflare. A empresa está agora reforçando suas medidas de segurança e aprender com este ataque sofisticado para fortalecer ainda mais as suas defesas contra tais ameaças no futuro.