Cloudflare, el gigante de la infraestructura web, se ha visto comprometido en un ataque cibernético de gran envergadura, presuntamente orquestado por hackers. Este incidente, que tuvo lugar entre el 14 y el 24 de noviembre de 2023, permitió a los atacantes obtener acceso no autorizado al servidor de Atlassian de la compañía, accediendo a documentación sensible y a una cantidad limitada de código fuente.
La detección del ataque el 23 de noviembre puso de manifiesto la sofisticación y la meticulosidad de los actores de la amenaza, cuyo objetivo era establecer un acceso persistente y generalizado a la red global de Cloudflare. Este hecho ha suscitado preocupaciones en cuanto a la seguridad de la infraestructura crítica de internet que Cloudflare ayuda a proteger.
Medidas de Precaución Implementadas
En respuesta a la brecha, Cloudflare tomó medidas de precaución exhaustivas, incluida la rotación de más de 5,000 credenciales de producción y la segmentación física de sus sistemas de prueba y de ensayo. Además, se llevó a cabo un triaje forense en 4,893 sistemas y se procedió a reimprimir y reiniciar todas las máquinas en su red global.
El ataque implicó una fase de reconocimiento de cuatro días para acceder a los portales Atlassian Confluence y Jira. Utilizando el marco de simulación de adversarios Sliver, el atacante creó una cuenta de usuario de Atlassian fraudulenta, logrando acceso persistente al servidor de Atlassian y, eventualmente, a su sistema de gestión de código fuente Bitbucket.
Extensión del Acceso No Autorizado
Se estima que el atacante tuvo acceso visual a hasta 120 repositorios de código, de los cuales aproximadamente 76 podrían haber sido exfiltrados. Estos repositorios incluían datos críticos sobre los procedimientos de respaldo, la configuración y la gestión de la red global de Cloudflare, así como información sobre identidad, acceso remoto y el uso de Terraform y Kubernetes.
Cloudflare ha asegurado que una pequeña porción de los repositorios contenía secretos cifrados, los cuales fueron inmediatamente rotados como medida de precaución, a pesar de su robusto cifrado.
Explotación de Vulnerabilidades y Respuestas de Cloudflare
El ataque se facilitó mediante el uso indebido de un token de acceso y tres credenciales de cuenta de servicio vinculadas a Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks y Smartsheet, robadas durante el hackeo del sistema de gestión de casos de soporte de Okta en octubre de 2023. Cloudflare reconoció su error al no haber rotado estas credenciales, creyendo erróneamente que no estaban en uso.
La empresa tomó medidas decisivas para cortar todas las conexiones maliciosas el 24 de noviembre de 2023 y contrató a la firma de seguridad cibernética CrowdStrike para una evaluación independiente del incidente.
Este incidente subraya la constante evolución de las amenazas cibernéticas y la necesidad de mantener prácticas de seguridad robustas y actualizadas. Cloudflare ha reafirmado su compromiso con la seguridad de su infraestructura y la protección de los datos de sus clientes, mientras continúa investigando y reforzando sus defensas contra actores de amenazas sofisticados.
vía: Revista cloud y The Hacker News
