Cloudflare ha revelado que fue el objetivo de un probable ataque de un estado-nación en el que el actor de la amenaza aprovechó las credenciales robadas para obtener acceso no autorizado a su servidor Atlassian y, en última instancia, acceder a cierta documentación y una cantidad limitada de código fuente.
La intrusión, que tuvo lugar entre el 14 y el 24 de noviembre de 2023 y fue detectada el 23 de noviembre, se llevó a cabo “con el objetivo de obtener acceso persistente y generalizado a la red global de Cloudflare”, la empresa de infraestructura web. dichodescribiendo al actor como “sofisticado” y que “operaba de manera reflexiva y metódica”.
Como medida de precaución, la compañía dijo además que rotó más de 5.000 credenciales de producción, sistemas de prueba y preparación segmentados físicamente, llevó a cabo clasificaciones forenses en 4.893 sistemas, volvió a crear imágenes y reinició todas las máquinas en su red global.
El incidente implicó un período de reconocimiento de cuatro días para acceder a los portales Atlassian Confluence y Jira, tras lo cual el adversario creó una cuenta de usuario maliciosa de Atlassian y estableció un acceso persistente a su servidor Atlassian para finalmente obtener acceso a su sistema de gestión de código fuente Bitbucket mediante el Marco de simulación de adversario plateado.
Se visitaron hasta 120 repositorios de código, de los cuales se estima que 76 fueron extraídos por el atacante.
“Los 76 repositorios de código fuente estaban casi todos relacionados con cómo funcionan las copias de seguridad, cómo se configura y administra la red global, cómo funciona la identidad en Cloudflare, el acceso remoto y nuestro uso de Terraform y Kubernetes”, dijo Cloudflare.
“Un pequeño número de repositorios contenían secretos cifrados que se rotaban inmediatamente a pesar de que ellos mismos estaban fuertemente cifrados”.
Luego se dice que el actor de amenazas intentó sin éxito “acceder a un servidor de consola que tenía acceso al centro de datos que Cloudflare aún no había puesto en producción en São Paulo, Brasil”.
El ataque se logró utilizando un token de acceso y tres credenciales de cuenta de servicio asociadas con Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks y Smartsheet que fueron robados luego del hackeo en octubre de 2023 del sistema de gestión de casos de soporte de Okta.
Cloudflare reconoció que no había rotado estas credenciales, asumiendo erróneamente que no estaban en uso.
La compañía también dijo que tomó medidas para terminar todas las conexiones maliciosas originadas por el actor de la amenaza el 24 de noviembre de 2024. También involucró a la firma de ciberseguridad CrowdStrike para realizar una evaluación independiente del incidente.
“Los únicos sistemas de producción a los que el actor de amenazas pudo acceder utilizando las credenciales robadas fue nuestro entorno Atlassian. Al analizar las páginas wiki a las que accedieron, los problemas de la base de datos de errores y los repositorios de código fuente, parece que estaban buscando información sobre la arquitectura, la seguridad y la gestión. de nuestra red global”, afirmó Cloudflare.
About the Author
