Cloudflare sufrió un ataque potencialmente estatal que comprometió algunas de sus credenciales y documentos. El actor, que operó de manera reflexiva y metodológica, logró acceder a su servidor Atlassian utilizando credenciales robadas para finalmente acceder a una cantidad limitada de código fuente. Cloudflare ha tomado medidas de seguridad para proteger su infraestructura web, incluyendo la rotación de más de 5,000 credenciales, el triaje forense de casi 5,000 sistemas, la segmentación física de sistemas de prueba y ensayo, así como la revisión y reimplementación de cada máquina en su red global.
El ataque, que tuvo lugar del 14 al 24 de noviembre de 2023, fue detectado el 23 de noviembre. Como medida de precaución, Cloudflare ha llevado a cabo una evaluación independiente del incidente junto con la empresa de ciberseguridad CrowdStrike. Cloudflare también ha roto y reemplazado miles de credenciales de producción asociadas con sus sistemas Atlassian, Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks y Smartsheet. Además, la compañía ha segmentado físicamente sus sistemas de prueba y ensayo y ha llevado a cabo la evaluación forense de casi 5,000 sistemas.
El atacante creó una cuenta de usuario falsa en Atlassian después de un período de reconocimiento de cuatro días, estableciendo un acceso persistente a su servidor Atlassian. El atacante utilizó el marco de simulación de adversarios Sliver para acceder al sistema de gestión de código fuente Bitbucket, revisando por lo menos 120 repositorios de código fuente, de los cuales extrajo al menos 76. Se cree que estos repositorios estaban relacionados con el funcionamiento de las copias de seguridad, la configuración y gestión de la red global, la identidad en Cloudflare, el acceso remoto y el uso de Terraform y Kubernetes.
El atacante intentó sin éxito acceder a un servidor de consola que Cloudflare aún no había puesto en producción en São Paulo, Brasil. La empresa ha declarado que se han tomado medidas para terminar todas las conexiones maliciosas que se originaron a partir del ataque.
El incidente subraya la importancia de la rotación constante de credenciales de seguridad y la evaluación forense regular de sistemas críticos. Cloudflare ha demostrado ser proactivo en su manejo de situaciones de ciberseguridad y sigue siendo líder en seguridad web.
Vía: The Hacker News
