El hack de Cloudflare: un hacker, 5000 credenciales y código de operación rojo

En un importante incidente de ciberseguridad, Cloudflare, una empresa líder en seguridad y rendimiento web, reveló que había sido blanco de un sofisticado intento de piratería por parte de un actor estatal. El ataque, que tuvo lugar en noviembre de 2023, implicó el compromiso del servidor Atlassian autohospedado de Cloudflare .

El actor de amenazas realizó un reconocimiento entre el 14 y el 17 de noviembre, apuntando a la base de datos de errores y wiki interna de Cloudflare. Regresaron el 22 de noviembre, establecieron acceso persistente a través de ScriptRunner para Jira e intentaron infiltrarse en el sistema de administración de código fuente de Cloudflare y en un servidor de consola vinculado a un centro de datos no lanzado en São Paulo, Brasil.

Esta infracción se vio facilitada por las credenciales obtenidas del compromiso de Okta en octubre de 2023, que Cloudflare no había rotado. La supervisión permitió al actor de amenazas utilizar un token de acceso y tres credenciales de cuenta de servicio para obtener y mantener el acceso.

Tras la infracción, Cloudflare inició un esfuerzo de remediación y endurecimiento del “Código Rojo”. Esto implicó que una parte importante del personal técnico de Cloudflare se concentrara en fortalecer los controles de seguridad y garantizar que el actor de la amenaza ya no pudiera acceder al entorno. Las medidas incluyeron rotar más de 5000 credenciales de producción, segmentar físicamente los sistemas y realizar evaluaciones forenses en casi 5000 sistemas.

La evaluación independiente de CrowdStrike confirmó los hallazgos de Cloudflare, asegurando que no haya presencia continua de actores de amenazas dentro de los sistemas. La investigación reveló el enfoque del actor en comprender la arquitectura de red global de Cloudflare, lo que provocó una amplia revisión de la seguridad.

  • Objetivo y método : Cloudflare reveló que el ataque se centró en sus sistemas internos, específicamente en un servidor Atlassian autohospedado. Los atacantes utilizaron métodos sofisticados, indicativos de un ataque patrocinado por un estado-nación.
  • Detección y respuesta : Cloudflare detectó el acceso no autorizado rápidamente y tomó medidas inmediatas para mitigar la infracción. La empresa llevó a cabo una investigación exhaustiva, trabajando en estrecha colaboración con expertos en seguridad externos y agencias encargadas de hacer cumplir la ley.

IMPACTO DEL HACK

  • Ningún dato del cliente comprometido : según Cloudflare, no hubo evidencia de que la violación afectara los datos del cliente, los servicios de Cloudflare, los sistemas de red global o los datos de configuración. La empresa enfatizó que la integridad de sus servicios de atención al cliente se mantuvo intacta.
  • Sistemas internos afectados : la infracción permitió a los atacantes acceder a algunos de los sistemas internos de Cloudflare. Sin embargo, la empresa aseguró que la brecha estaba contenida y que los sistemas afectados estaban aislados de aquellos que alojan datos y servicios de clientes.

LA RESPUESTA DE CLOUDFLARE

En respuesta a una sofisticada violación de seguridad detectada el Día de Acción de Gracias de 2023, Cloudflare adoptó una serie de amplias medidas de seguridad para mitigar cualquier amenaza potencial y salvaguardar su infraestructura. El incidente, en el que un actor de amenazas se infiltró en el servidor Atlassian de Cloudflare, llevó a la empresa a implementar una revisión de seguridad integral. Esto incluyó la rotación de más de 5000 credenciales de producción, un testimonio del compromiso de la empresa de mantener los más altos estándares de seguridad.

Para reforzar aún más sus defensas, Cloudflare segmentó físicamente sus sistemas de prueba y preparación. Esta medida tenía como objetivo mejorar la seguridad de sus entornos de desarrollo, garantizando que cualquier posible brecha en estas áreas no pudiera afectar los sistemas de producción. Además, la empresa realizó triajes forenses en 4.893 sistemas. Esta revisión exhaustiva permitió a Cloudflare evaluar y fortalecer exhaustivamente su red, identificando y abordando cualquier vulnerabilidad que pudiera ser explotada por actores de amenazas.

En un paso sin precedentes, Cloudflare volvió a crear imágenes y reinició cada máquina en su red global. Esta acción aseguró que cualquier resto de la presencia del actor de amenazas fuera erradicado, restableciendo los sistemas a un estado seguro. Una respuesta tan decisiva resalta el enfoque proactivo de Cloudflare hacia la ciberseguridad, garantizando la integridad y la resiliencia de su infraestructura global.

El incidente de seguridad se desarrolló durante varios días, comenzando con un período de reconocimiento de cuatro días durante el cual el actor de amenazas accedió a los portales Atlassian Confluence y Jira de Cloudflare. Utilizando técnicas sofisticadas, el adversario creó una cuenta de usuario maliciosa de Atlassian, estableciendo acceso persistente al servidor Atlassian de Cloudflare. Este acceso permitió al actor de amenazas infiltrarse en el sistema de gestión de código fuente de Bitbucket, aprovechando el marco de simulación del adversario Sliver para profundizar su intrusión.

La investigación de Cloudflare reveló que el atacante vio hasta 120 repositorios de código, y se estima que 76 de estos repositorios fueron exfiltrados. Esta infracción generó preocupaciones sobre la posible exposición de información confidencial y propiedad intelectual. Sin embargo, la respuesta rápida e integral de Cloudflare, junto con su comunicación transparente con los clientes y partes interesadas, ejemplifica la dedicación de la empresa a la seguridad y la confianza.

El intento de pirateo de Cloudflare pone de relieve las continuas amenazas a la ciberseguridad que enfrentan las empresas de tecnología, especialmente de los actores estatales. La respuesta proactiva y la transparencia de Cloudflare sirven como modelo de cómo las empresas pueden manejar los incidentes de seguridad. Si bien la violación fue significativa, la garantía de Cloudflare de que los datos y servicios de los clientes no se vieron comprometidos es un testimonio de la efectividad de sus medidas de seguridad.