Incidentes de ciberseguridad de Midnight Blizzard y Cloudflare-Atlassian: lo que debe saber


13 de febrero de 2024Las noticias de los piratas informáticosSeguridad SaaS/violación de datos

Los incidentes de ciberseguridad de Midnight Blizzard y Cloudflare-Atlassian hicieron saltar las alarmas sobre las vulnerabilidades inherentes a las principales plataformas SaaS. Estos incidentes ilustran lo que está en juego en las infracciones de SaaS: salvaguardar la integridad de las aplicaciones SaaS y sus datos confidenciales es fundamental, pero no fácil. Los vectores de amenazas comunes, como el sofisticado phishing, las configuraciones erróneas y las vulnerabilidades en las integraciones de aplicaciones de terceros, demuestran los complejos desafíos de seguridad que enfrentan los sistemas de TI.

En el caso de Midnight Blizzard, la difusión de contraseñas en un entorno de prueba fue el vector de ataque inicial. Para Cloudflare-Atlassian, los actores de amenazas iniciaron el ataque a través de sitios comprometidos. tokens de OAuth de una infracción anterior en Okta, un proveedor de seguridad de identidad SaaS.

¿Que pasó exactamente?

Infracción de Microsoft Midnight Blizzard

Microsoft fue atacado por los hackers rusos “Midnight Blizzard” (también conocidos como Nobelium, APT29 o Cozy Bear) que están vinculados al SVR, la unidad del servicio de inteligencia exterior del Kremlin.

En la infracción de Microsoft, los actores de la amenaza:

  1. Se utilizó una estrategia de distribución de contraseñas en una cuenta heredada y en cuentas de prueba históricas que no tenían habilitada la autenticación multifactor (MFA). De acuerdo a microsoftlos actores de la amenaza “[used] un número bajo de intentos para evadir la detección y evitar bloqueos de cuentas en función del volumen de fallas”.
  2. Aprovechó la cuenta heredada comprometida como punto de entrada inicial para luego secuestrar una aplicación OAuth de prueba heredada. Esta aplicación OAuth heredada tenía permisos de alto nivel para acceder al entorno corporativo de Microsoft.
  3. Creó aplicaciones OAuth maliciosas explotando los permisos de la aplicación OAuth heredada. Debido a que los actores de amenazas controlaban la aplicación OAuth heredada, podían mantener el acceso a las aplicaciones incluso si perdían el acceso a la cuenta inicialmente comprometida.
  4. Se otorgaron permisos de intercambio de administrador y credenciales de administrador a sí mismos.
  5. Privilegios escalados de OAuth a un nuevo usuario, que ellos controlaban.
  6. Dio su consentimiento para que las aplicaciones OAuth maliciosas utilicen su cuenta de usuario recién creada.
  7. Se incrementó aún más el acceso de la aplicación heredada otorgándole acceso completo a los buzones de correo de M365 Exchange Online. Con este acceso, Midnight Blizzard podría ver las cuentas de correo electrónico de M365 pertenecientes a miembros superiores del personal y filtrar correos electrónicos y archivos adjuntos corporativos.
Incidentes de ciberseguridad de Cloudflare-Atlassian
Recreación de la ilustración de Amitai Cohen

Incumplimiento entre Cloudflare y Atlassian

El Día de Acción de Gracias, 23 de noviembre de 2023, Sistemas Atlassian de Cloudflare También se vieron comprometidos por un ataque de un Estado-nación.

  1. Esta infracción, que comenzó el 15 de noviembre de 2023, fue posible gracias al uso de credenciales comprometidas que no se habían modificado tras una infracción anterior en Okta en octubre de 2023.
  2. Los atacantes accedieron a la wiki interna y a la base de datos de errores de Cloudflare, lo que les permitió ver 120 repositorios de código en la instancia Atlassian de Cloudflare.
  3. Potencialmente se extrajeron 76 repositorios de código fuente relacionados con tecnologías operativas clave.
  4. Cloudflare detectó al actor de amenazas el 23 de noviembre porque conectó una cuenta de servicio de Smartsheet a un grupo de administración en Atlassian.
Guía de seguridad SaaS

¿Puede su equipo de seguridad monitorear aplicaciones de terceros? El 60% de los equipos no pueden.

¿Cree que la seguridad de su SaaS es de primer nivel? Appomni encuestó a más de 600 profesionales de la seguridad global y el 79 % de los profesionales sintieron lo mismo, ¡pero se enfrentaron a incidentes de ciberseguridad! Sumérjase en los conocimientos del Informe AppOmni 2023.

Aprende cómo puedes

Los actores de amenazas apuntan cada vez más a SaaS

Estas infracciones son parte de un patrón más amplio de actores estatales que apuntan a proveedores de servicios SaaS, incluido, entre otros, el espionaje y la recopilación de inteligencia. Midnight Blizzard participó anteriormente en importantes operaciones cibernéticas, incluido el ataque SolarWinds de 2021.

Estos incidentes subrayan la importancia del monitoreo continuo de sus entornos SaaS y el riesgo continuo que plantean los ciberadversarios sofisticados que atacan la infraestructura crítica y la tecnología operativa. También destacan vulnerabilidades importantes relacionadas con la gestión de identidades de SaaS y la necesidad de prácticas estrictas de gestión de riesgos de aplicaciones de terceros.

Los atacantes utilizan tácticas, técnicas y procedimientos (TTP) comunes para violar los proveedores de SaaS a través de la siguiente cadena de eliminación:

  1. Acceso inicial: Spray de contraseña, secuestro de OAuth
  2. Persistencia: Se hace pasar por administrador, crea OAuth adicional
  3. Evasión de defensa: OAuth con privilegios elevados, sin MFA
  4. Movimiento lateral: Compromiso más amplio de aplicaciones conectadas
  5. Exfiltración de datos: obtenga datos confidenciales y privilegiados de las aplicaciones

Rompiendo la cadena de destrucción de SaaS

Una forma eficaz de romper la cadena de eliminación de forma temprana es mediante la supervisión continua, la aplicación de políticas granulares y la gestión proactiva del ciclo de vida de sus entornos SaaS. A Plataforma SaaS de gestión de la postura de seguridad (SSPM) como AppOmni puede ayudar a detectar y alertar sobre:

  • Acceso inicial: Reglas listas para usar para detectar compromisos de credenciales, incluida la pulverización de contraseñas, ataques de fuerza bruta y políticas de MFA no aplicadas.
  • Persistencia: Escanee e identifique permisos de OAuth y detecte secuestro de OAuth
  • Evasión de defensa: acceda a comprobaciones de políticas, detecte si se crea un nuevo proveedor de identidad (IdP) y detecte cambios de permisos.
  • Movimiento lateral: Supervise los inicios de sesión y el acceso privilegiado, detecte combinaciones tóxicas y comprenda el radio de explosión de una cuenta potencialmente comprometida
Incidentes de ciberseguridad de Cloudflare-Atlassian

Nota: Este artículo contribuido por expertos está escrito por Beverly Nevalga, AppOmni.

¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57