Cloudflare violat per un presumpte actor d'amenaça patrocinat per l'estat que accedeix al codi font i als documents interns
Cloudflare, una coneguda empresa de seguretat web i xarxa de lliurament de contingut, va revelar recentment una bretxa de seguretat preocupant orquestrada per un presumpte actor d'amenaça patrocinat per l'estat. L'incident, presentat el 23 de novembre, va implicar l'accés no autoritzat als sistemes interns mitjançant credencials robades, inicialment compromesa durant el pirateig d'Okta d'octubre de 2023.
Explotació de credencials robades
L'actor de l'amenaça va aprofitar aquestes credencials per infiltrar-se a la wiki interna i la base de dades d'errors de Cloudflare, realitzant activitats de reconeixement a partir del 14 de novembre. Tot i que la segmentació de la xarxa dificultava l'accés a determinats sistemes crítics, els atacants van aconseguir penetrar a l'entorn AWS de Cloudflare i a la suite Atlassian, incloent Jira i Confluence.
Dins de la suite Atlassian, els atacants van buscar informació relacionada amb la infraestructura de xarxa de Cloudflare, centrant-se en paraules clau com "accés remot", "secret" i "token". Fins i tot van crear un compte Atlassian persistent per garantir l'accés continuat. A més, van desplegar el Sliver Adversary Emulation Framework per obtenir més accés i van intentar infringir un centre de dades no operatiu a São Paulo, Brasil.
Pla d'acció Swift de Cloudflare
Mentre els atacants van accedir i baixar els dipòsits de codi font, Cloudflare va respondre ràpidament rotant secrets xifrats i cancel·lant comptes no autoritzats. Es van implementar regles de tallafoc per bloquejar les adreces IP dels atacants i es van prendre mesures de seguretat àmplies, inclosa la reimatge i el reinici de totes les màquines de la xarxa global de Cloudflare.
Malgrat la investigació exhaustiva de Cloudflare i CrowdStrike, cap evidència va suggerir més compromís més enllà dels sistemes als quals s'accedeix. L'empresa es manté vigilant, millorant contínuament les seves mesures de seguretat per prevenir futures infraccions i salvaguardar la seva infraestructura contra amenaces sofisticades.