Cloudflare fue violado por un presunto actor de amenazas patrocinado por el estado que accedió al código fuente y a documentos internos
Cloudflare, una conocida empresa de seguridad web y red de distribución de contenidos, reveló recientemente una preocupante violación de seguridad orquestada por un presunto actor de amenazas patrocinado por el estado. El incidente, revelado el 23 de noviembre, implicó el acceso no autorizado a sistemas internos a través de credenciales robadas, inicialmente comprometidas durante el hackeo de Okta en octubre de 2023.
Explotación de credenciales robadas
El actor de amenazas aprovechó estas credenciales para infiltrarse en la wiki interna y la base de datos de errores de Cloudflare, realizando actividades de reconocimiento a partir del 14 de noviembre. A pesar de que la segmentación de la red obstaculiza el acceso a ciertos sistemas críticos, los atacantes lograron penetrar el entorno AWS de Cloudflare y la suite Atlassian, incluidos Jira y Confluence.
Dentro de la suite Atlassian, los atacantes buscaron información relacionada con la infraestructura de red de Cloudflare, centrándose en palabras clave como "acceso remoto", "secreto" y "token". Incluso crearon una cuenta Atlassian persistente para garantizar el acceso continuo. Además, implementaron el marco de emulación Sliver Adversary para obtener más acceso e intentaron violar un centro de datos no operativo en São Paulo, Brasil.
Plan de acción rápido de Cloudflare
Mientras los atacantes accedían y descargaban repositorios de código fuente, Cloudflare respondió rápidamente rotando secretos cifrados y cancelando cuentas no autorizadas. Se implementaron reglas de firewall para bloquear las direcciones IP de los atacantes y se tomaron amplias medidas de seguridad, incluida la creación de nuevas imágenes y el reinicio de todas las máquinas dentro de la red global de Cloudflare.
A pesar de la investigación exhaustiva realizada por Cloudflare y CrowdStrike, no hay evidencia que sugiera un mayor compromiso más allá de los sistemas a los que se accede. La empresa permanece alerta y mejora continuamente sus medidas de seguridad para evitar futuras infracciones y salvaguardar su infraestructura contra amenazas sofisticadas.