Ciberseguridad 360 | Cloudflare hackeado utilizando tokens de autenticación robados

Cloudflare ha revelado ayer que su servidor interno de Atlassian fue vulnerado por un presunto "atacante de estado nacional" que accedi� a su wiki Confluence, a la base de datos de errores Jira y al sistema de gesti�n de c�digo fuente Bitbucket.

El actor de la amenaza accedi� primero al servidor Atlassian autoalojado de Cloudflare el 14 de noviembre y luego accedi� a los sistemas Confluence y Jira de la empresa tras una etapa de reconocimiento.

"Luego regresaron el 22 de noviembre y establecieron un acceso persistente a nuestro servidor Atlassian utilizando ScriptRunner para Jira, accedieron a nuestro sistema de gesti�n de c�digo fuente (que utiliza Atlassian Bitbucket) e intentaron, sin �xito, acceder a un servidor de consola que ten�a acceso al centro de datos que Cloudflare a�n no hab�a puesto en producci�n en S�o Paulo, Brasil", dijeron el CEO de Cloudflare Matthew Prince, el CTO John Graham-Cumming y el CISO Grant Bourzikas.

Para acceder a sus sistemas, los atacantes utilizaron un token de acceso y tres credenciales de cuentas de servicio robadas durante un compromiso anterior vinculado a la brecha de Okta de octubre de 2023 que Cloudflare no pudo rotar (de los miles se filtraron durante el compromiso de Okta).

Cloudflare detect� la actividad maliciosa el 23 de noviembre, cort� el acceso del hacker en la ma�ana del 24 de noviembre y sus especialistas forenses en ciberseguridad empezaron a investigar el incidente tres d�as despu�s, el 26 de noviembre.

Mientras abordaban el incidente, el personal de Cloudflare rot� todas las credenciales de producci�n (m�s de 5.000 credenciales �nicas), segment� f�sicamente los sistemas de prueba y de ensayo, realiz� un triaje forense en 4.893 sistemas, reimagin� y reinici� todos los sistemas de la red global de la empresa, incluidos todos los servidores de Atlassian (Jira, Confluence y Bitbucket) y las m�quinas a las que hab�a accedido el atacante.

Los autores de la amenaza tambi�n intentaron piratear el centro de datos de Cloudflare en S�o Paulo, que todav�a no se utiliza en producci�n, pero estos intentos fracasaron. Todos los equipos del centro de datos de Cloudflare en Brasil se devolvieron posteriormente a los fabricantes para garantizar que el centro de datos era 100% seguro.

Los esfuerzos de remediaci�n terminaron hace casi un mes, el 5 de enero, pero la compa��a dice que su personal sigue trabajando en el endurecimiento del software, as� como en la gesti�n de credenciales y vulnerabilidades.

La compa��a afirma que esta brecha no afect� a los datos o sistemas de los clientes de Cloudflare; sus servicios, sistemas de red globales o configuraci�n tampoco se vieron afectados.

"Aunque entendemos que el impacto operativo del incidente es extremadamente limitado, nos tomamos este incidente muy en serio porque un agente de amenazas hab�a utilizado credenciales robadas para acceder a nuestro servidor de Atlassian y accedi� a cierta documentaci�n y a una cantidad limitada de c�digo fuente", afirman Prince, Graham-Cumming y Bourzikas.

"Bas�ndonos en nuestra colaboraci�n con colegas de la industria y el gobierno, creemos que este ataque fue realizado por un atacante de un estado naci�n con el objetivo de obtener acceso persistente y generalizado a la red global de Cloudflare."

"Analizando las p�ginas wiki a las que accedieron, los problemas de la base de datos de errores y los repositorios de c�digo fuente, parece que buscaban informaci�n sobre la arquitectura, la seguridad y la gesti�n de nuestra red global; sin duda, con la vista puesta en obtener un punto de apoyo m�s profundo."

El 18 de octubre de 2023, la instancia Okta de Cloudflare fue vulnerada utilizando un token de autenticaci�n robado del sistema de soporte de Okta. Los hackers que vulneraron el sistema de soporte al cliente de Okta tambi�n obtuvieron acceso a archivos pertenecientes a 134 clientes, incluidos 1Password, BeyondTrust y Cloudflare.

Tras el incidente de octubre de 2023, la empresa declar� que la r�pida respuesta de su Equipo de Respuesta a Incidentes de Seguridad contuvo y minimiz� el impacto en los sistemas y datos de Cloudflare y que no se vio afectada la informaci�n ni los sistemas de los clientes de Cloudflare.

Otro intento de vulnerar los sistemas de Cloudflare fue bloqueado en agosto de 2022 despu�s de que los atacantes intentaran utilizar credenciales de empleados robadas en un ataque de phishing, pero fracasaron porque no ten�an acceso a las claves de seguridad de conformidad con FIDO2 emitidas por la empresa de las v�ctimas.

Fuente: bleepingcomputer