Segundo informações da própria empresa, o Cloudflare foi hackeado usando tokens de autenticação roubados em um comprometimento anterior.
A Cloudflare divulgou recentemente que seu servidor Atlassian interno foi violado por um suposto “atacante do estado-nação” que acessou seu wiki do Confluence, banco de dados de bugs Jira e sistema de gerenciamento de código-fonte Bitbucket.
Cloudflare foi hackeado usando tokens de autenticação roubados
O agente da ameaça obteve acesso pela primeira vez ao servidor Atlassian auto-hospedado da Cloudflare em 14 de novembro e, em seguida, acessou os sistemas Confluence e Jira da empresa após uma fase de reconhecimento.
“Eles então retornaram em 22 de novembro e estabeleceram acesso persistente ao nosso servidor Atlassian usando ScriptRunner for Jira, obtiveram acesso ao nosso sistema de gerenciamento de código-fonte (que usa Atlassian Bitbucket) e tentaram, sem sucesso, acessar um servidor de console que tinha acesso ao data center que a Cloudflare ainda não havia colocado em produção em São Paulo, Brasil”, disse a Cloudflare.
Para acessar seus sistemas, os invasores usaram um token de acesso e três credenciais de conta de serviço roubadas durante um comprometimento anterior vinculado à violação do Okta de outubro de 2023, na qual a Cloudflare não conseguiu fazer a rotação (dos milhares vazaram durante o comprometimento do Okta).
A Cloudflare detectou a atividade maliciosa em 23 de novembro, cortou o acesso do hacker na manhã de 24 de novembro e seus especialistas forenses em segurança cibernética começaram a investigar o incidente três dias depois, em 26 de novembro.
Ao resolver o incidente, a equipe da Cloudflare alternou todas as credenciais de produção (mais de 5.000 exclusivas), testes segmentados fisicamente e sistemas de preparação, realizou triagem forense em 4.893 sistemas, recriava imagens e reinicializava todos os sistemas na rede global da empresa, incluindo todos os servidores Atlassian (Jira, Confluence e Bitbucket) e máquinas acessadas pelo invasor.
Os agentes da ameaça também tentaram invadir o data center da Cloudflare em São Paulo – que ainda não é usado na produção – mas essas tentativas falharam.
Todos os equipamentos do data center da Cloudflare no Brasil foram posteriormente devolvidos aos fabricantes para garantir que o data center fosse 100% seguro.
Os esforços de remediação terminaram há quase um mês, em 5 de janeiro, mas a empresa afirma que sua equipe ainda está trabalhando no fortalecimento do software, bem como no gerenciamento de credenciais e vulnerabilidades.
A empresa afirma que esta violação não afetou os dados ou sistemas dos clientes da Cloudflare; seus serviços, sistemas de rede global ou configuração também não foram afetados.
“Embora entendamos que o impacto operacional do incidente é extremamente limitado, levamos esse incidente muito a sério porque um agente da ameaça usou credenciais roubadas para obter acesso ao nosso servidor Atlassian e acessou alguma documentação e uma quantidade limitada de código-fonte”, Cloudflare disse.
“Com base em nossa colaboração com colegas da indústria e do governo, acreditamos que este ataque foi realizado por um invasor de um estado-nação com o objetivo de obter acesso persistente e generalizado à rede global da Cloudflare.”
Em 18 de outubro de 2023, a instância Okta da Cloudflare foi violada usando um token de autenticação roubado do sistema de suporte da Okta.
Após o incidente, a empresa disse que a resposta rápida de sua equipe de resposta a incidentes de segurança conteve e minimizou o impacto nos sistemas e dados da Cloudflare e que nenhuma informação ou sistema de cliente da Cloudflare foi afetado.
Outra tentativa de violação dos sistemas da Cloudflare foi bloqueada em agosto de 2022, depois que os invasores tentaram usar credenciais de funcionários roubadas em um ataque de phishing, mas falharam porque não tiveram acesso às chaves de segurança compatíveis com FIDO2 emitidas pela empresa das vítimas.