O Cloudflare foi hackeado usando tokens de autenticação roubados no ataque à Okta
2 de Fevereiro de 2024

A Cloudflare revelou hoje que seu servidor interno Atlassian foi violado por um suposto 'atacante de estado-nação' que acessou seu wiki do Confluence, banco de dados de bugs do Jira e sistema de gerenciamento de código-fonte do Bitbucket.

O ator da ameaça ganhou acesso ao servidor Atlassian auto-hospedado da Cloudflare em 14 de novembro e então acessou os sistemas Confluence e Jira da empresa depois de uma fase de reconhecimento.

"Eles então retornaram em 22 de novembro e estabeleceram acesso persistente ao nosso servidor Atlassian usando ScriptRunner for Jira, obtiveram acesso ao nosso sistema de gerenciamento de código-fonte (que usa Atlassian Bitbucket) e tentaram, sem sucesso, acessar um servidor de console que tinha acesso ao data center que a Cloudflare ainda não havia colocado em produção em São Paulo, Brasil", disse o CEO da Cloudflare, Matthew Prince, o CTO John Graham-Cumming e o CISO Grant Bourzikas.

Para acessar seus sistemas, os invasores usaram um token de acesso e três credenciais de conta de serviço roubadas durante um compromisso anterior ligado à violação da Okta em outubro de 2023, que a Cloudflare não rotacionou (de milhares que foram vazadas durante o comprometimento da Okta).

A Cloudflare detectou a atividade maliciosa em 23 de novembro, cortou o acesso do hacker na manhã de 24 de novembro, e seus especialistas em forense cibernética começaram a investigar o incidente três dias depois, em 26 de novembro.

Durante o tratamento do incidente, a equipe da Cloudflare rotacionou todas as credenciais de produção (mais de 5.000 únicas), segmentou fisicamente os sistemas de teste e preparação, realizou triagem forense em 4.893 sistemas, reimagem e reiniciou todos os sistemas na rede global da empresa, incluindo todos os servidores Atlassian (Jira, Confluence e Bitbucket) e máquinas acessadas pelo invasor.

Os atores da ameaça também tentaram hackear o data center da Cloudflare em São Paulo - que ainda não é usado em produção - mas essas tentativas falharam.

Todo o equipamento no data center do Brasil da Cloudflare foi posteriormente devolvido aos fabricantes para garantir que o data center estava 100% seguro.

Os esforços de remediação terminaram há quase um mês, em 5 de janeiro, mas a empresa diz que sua equipe ainda está trabalhando no endurecimento de software, bem como na gestão de credenciais e vulnerabilidades.

A empresa afirma que essa violação não impactou os dados ou sistemas dos clientes da Cloudflare; seus serviços, sistemas globais de rede ou configuração também não foram afetados.

"Apesar de entendermos que o impacto operacional do incidente seja extremamente limitado, levamos esse incidente muito a sério, porque um ator de ameaça usou credenciais roubadas para obter acesso ao nosso servidor Atlassian e acessou alguma documentação e uma quantidade limitada de código-fonte", disseram Prince, Graham-Cumming e Bourzikas.

"Com base em nossa colaboração com colegas da indústria e do governo, acreditamos que esse ataque foi realizado por um atacante do estado-nação com o objetivo de obter acesso persistente e amplo à rede global da Cloudflare.

"Analisando os pages wiki que acessaram, problemas do banco de dados de bugs e repositórios de código-fonte, parece que estavam procurando informações sobre a arquitetura, segurança e gestão de nossa rede global; sem dúvida com o objetivo de obter uma posição mais profunda".

Em 18 de outubro de 2023, a instância Okta da Cloudflare foi violada usando um token de autenticação roubado do sistema de suporte da Okta.

Os hackers que violaram o sistema de suporte ao cliente da Okta também tiveram acesso a arquivos pertencentes a 134 clientes, incluindo 1Password, BeyondTrust e Cloudflare.

Após o incidente de outubro de 2023, a empresa disse que a rápida resposta de sua Equipe de Resposta a Incidentes de Segurança contido e minimizou o impacto nos sistemas e dados da Cloudflare e que nenhuma informação ou sistema do cliente da Cloudflare foi impactado.

Outra tentativa de violar os sistemas da Cloudflare foi bloqueada em agosto de 2022, depois que atacantes tentaram usar credenciais de funcionários roubadas em um ataque de phishing, mas falharam porque não tinham acesso às chaves de segurança compatíveis com FIDO2 emitidas pela empresa para as vítimas.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...