A Cloudflare foi Violada por um Autor de Ameaça Suspeito de ser Patrocinado pelo Estado Acessando o Código-Fonte e Documentos Internos

A Cloudflare, uma conhecida empresa de segurança da Web e rede de distribuição de conteúdo, divulgou recentemente uma preocupante violação de segurança orquestrada por um suposto ator de ameaça patrocinado pelo Estado. O incidente, revelado em 23 de novembro, envolveu o acesso não autorizado a sistemas internos por meio de credenciais roubadas, inicialmente comprometidas durante o hack do Okta em outubro de 2023.

Explorando as Credenciais Roubadas

O agente da ameaça explorou essas credenciais para se infiltrar no wiki interno e no banco de dados de bugs da Cloudflare, conduzindo atividades de reconhecimento a partir de 14 de novembro. Apesar da segmentação da rede dificultar o acesso a determinados sistemas críticos, os invasores conseguiram penetrar no ambiente AWS da Cloudflare e no pacote Atlassian, incluindo Jira e Confluence.

Dentro do pacote Atlassian, os invasores procuraram informações relacionadas à infraestrutura de rede da Cloudflare, concentrando-se em palavras-chave como “acesso remoto”, “secreto” e “token”. Eles até criaram uma conta Atlassian persistente para garantir acesso contínuo. Além disso, eles implantaram o Sliver Adversary Emulation Framework para obter mais acesso e tentaram violar um data center não operacional em São Paulo, Brasil.

O Rápido Plano de Ação da Cloudflare

Embora os invasores acessassem e baixassem repositórios de código-fonte, a Cloudflare respondeu prontamente alternando segredos criptografados e encerrando contas não autorizadas. Foram implementadas regras de firewall para bloquear os endereços IP dos invasores, e foram tomadas medidas de segurança abrangentes, incluindo a recriação de imagens e a reinicialização de todas as máquinas na rede global da Cloudflare.

Apesar da investigação minuciosa realizada pela Cloudflare e CrowdStrike, nenhuma evidência sugeriu maior comprometimento além dos sistemas acessados. A empresa permanece vigilante, melhorando continuamente as suas medidas de segurança para evitar futuras violações e salvaguardar a sua infraestrutura contra ameaças sofisticadas.