El hack de Cloudflare: un hacker, 5000 credenciales y código de operación rojo

En un importante incidente de ciberseguridad, Cloudflare, una empresa líder en seguridad y rendimiento web, reveló que había sido blanco de un sofisticado intento de piratería por parte de un actor estatal. El ataque, que tuvo lugar en noviembre de 2023, implicó el compromiso del servidor Atlassian autohospedado de Cloudflare .

El actor de amenazas realizó un reconocimiento entre el 14 y el 17 de noviembre, apuntando a la base de datos de errores y wiki interna de Cloudflare. Regresaron el 22 de noviembre, establecieron acceso persistente a través de ScriptRunner para Jira e intentaron infiltrarse en el sistema de administración de código fuente de Cloudflare y en un servidor de consola vinculado a un centro de datos no lanzado en São Paulo, Brasil.

Esta infracción se vio facilitada por las credenciales obtenidas del compromiso de Okta en octubre de 2023, que Cloudflare no había rotado. La supervisión permitió al actor de amenazas utilizar un token de acceso y tres credenciales de cuenta de servicio para obtener y mantener el acceso.

Tras la infracción, Cloudflare inició un esfuerzo de remediación y endurecimiento del “Código Rojo”. Esto implicó que una parte importante del personal técnico de Cloudflare se concentrara en fortalecer los controles de seguridad y garantizar que el actor de la amenaza ya no pudiera acceder al entorno. Las medidas incluyeron rotar más de 5000 credenciales de producción, segmentar físicamente los sistemas y realizar evaluaciones forenses en casi 5000 sistemas.

La evaluación independiente de CrowdStrike confirmó los hallazgos de Cloudflare, asegurando que no haya presencia continua de actores de amenazas dentro de los sistemas. La investigación reveló el enfoque del actor en comprender la arquitectura de red global de Cloudflare, lo que provocó una amplia revisión de la seguridad.

Nuevo ataque de smishing creativo, usado para hackear a Cloudflare y Twilio. Comprenda cómo funciona antes de que atacan su empresa

Objetivo y método : Cloudflare reveló que el ataque se centró en sus sistemas internos, específicamente en un servidor Atlassian autohospedado. Los atacantes utilizaron métodos sofisticados, indicativos de un ataque patrocinado por un estado-nación.
Detección y respuesta : Cloudflare detectó el acceso no autorizado rápidamente y tomó medidas inmediatas para mitigar la infracción. La empresa llevó a cabo una investigación exhaustiva, trabajando en estrecha colaboración con expertos en seguridad externos y agencias encargadas de hacer cumplir la ley.

IMPACTO DEL HACK

Ningún dato del cliente comprometido : según Cloudflare, no hubo evidencia de que la violación afectara los datos del cliente, los servicios de Cloudflare, los sistemas de red global o los datos de configuración. La empresa enfatizó que la integridad de sus servicios de atención al cliente se mantuvo intacta.
Sistemas internos afectados : la infracción permitió a los atacantes acceder a algunos de los sistemas internos de Cloudflare. Sin embargo, la empresa aseguró que la brecha estaba contenida y que los sistemas afectados estaban aislados de aquellos que alojan datos y servicios de clientes.

LA RESPUESTA DE CLOUDFLARE

En respuesta a una sofisticada violación de seguridad detectada el Día de Acción de Gracias de 2023, Cloudflare adoptó una serie de amplias medidas de seguridad para mitigar cualquier amenaza potencial y salvaguardar su infraestructura. El incidente, en el que un actor de amenazas se infiltró en el servidor Atlassian de Cloudflare, llevó a la empresa a implementar una revisión de seguridad integral. Esto incluyó la rotación de más de 5000 credenciales de producción, un testimonio del compromiso de la empresa de mantener los más altos estándares de seguridad.

Para reforzar aún más sus defensas, Cloudflare segmentó físicamente sus sistemas de prueba y preparación. Esta medida tenía como objetivo mejorar la seguridad de sus entornos de desarrollo, garantizando que cualquier posible brecha en estas áreas no pudiera afectar los sistemas de producción. Además, la empresa realizó triajes forenses en 4.893 sistemas. Esta revisión exhaustiva permitió a Cloudflare evaluar y fortalecer exhaustivamente su red, identificando y abordando cualquier vulnerabilidad que pudiera ser explotada por actores de amenazas.

En un paso sin precedentes, Cloudflare volvió a crear imágenes y reinició cada máquina en su red global. Esta acción aseguró que cualquier resto de la presencia del actor de amenazas fuera erradicado, restableciendo los sistemas a un estado seguro. Una respuesta tan decisiva resalta el enfoque proactivo de Cloudflare hacia la ciberseguridad, garantizando la integridad y la resiliencia de su infraestructura global.

El incidente de seguridad se desarrolló durante varios días, comenzando con un período de reconocimiento de cuatro días durante el cual el actor de amenazas accedió a los portales Atlassian Confluence y Jira de Cloudflare. Utilizando técnicas sofisticadas, el adversario creó una cuenta de usuario maliciosa de Atlassian, estableciendo acceso persistente al servidor Atlassian de Cloudflare. Este acceso permitió al actor de amenazas infiltrarse en el sistema de gestión de código fuente de Bitbucket, aprovechando el marco de simulación del adversario Sliver para profundizar su intrusión.

La investigación de Cloudflare reveló que el atacante vio hasta 120 repositorios de código, y se estima que 76 de estos repositorios fueron exfiltrados. Esta infracción generó preocupaciones sobre la posible exposición de información confidencial y propiedad intelectual. Sin embargo, la respuesta rápida e integral de Cloudflare, junto con su comunicación transparente con los clientes y partes interesadas, ejemplifica la dedicación de la empresa a la seguridad y la confianza.

El intento de pirateo de Cloudflare pone de relieve las continuas amenazas a la ciberseguridad que enfrentan las empresas de tecnología, especialmente de los actores estatales. La respuesta proactiva y la transparencia de Cloudflare sirven como modelo de cómo las empresas pueden manejar los incidentes de seguridad. Si bien la violación fue significativa, la garantía de Cloudflare de que los datos y servicios de los clientes no se vieron comprometidos es un testimonio de la efectividad de sus medidas de seguridad.

Jarvis Wagner

Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.

El hack de Cloudflare: un hacker, 5000 credenciales y código de operación rojo

IMPACTO DEL HACK

LA RESPUESTA DE CLOUDFLARE

¡Vulnerabilidades críticas en Cisco ASA y FTD! Aprenda a explotar CVE-2024-20353 y CVE-2024-20359

Vulnerabilidades duales en Microsoft SharePoint Server: Pasos esenciales para mitigar

Las vulnerabilidades de alto riesgo en el arranque seguro de la mayoría de los dispositivos Linux del planeta

Los entornos en contenedores son nuevos objetivo de los Hackers a través de vulnerabilidades en runC

Hackear dispositivos Android, Linux, macOS, Windows e iOS a través de Bluetooth utilizando una única vulnerabilidad

Hospitales como Rehenes:Ciberataques Dejan a los Hospitales Franceses en Caos

Hackear lo inhackable: La historia de cómo se hackearon CISA

El hack de Cloudflare: un hacker, 5000 credenciales y código de operación rojo

La Brecha en Boeing: Dentro del Robo de LockBit Ransomware

Objetivos Eternos: Después de Casio, el Grupo Seiko es hackeado nuevamente por una banda de ransomware

La pesadilla de Casio: ¡Cómo un simple error provocó una violación de datos en 149 países!

El mayor proveedor de botellas de refrescos, fabricante de plástico y reciclaje hackeado por ransomware

Google Gemini bajo fuego: vulnerabilidades de seguridad críticas que necesita conocer para hackear Gemini

Hackeando SCCM: Pentesting del System Center Configuration Manager con Misconfiguration Manager

Hackear dispositivos Android, Linux, macOS, Windows e iOS a través de Bluetooth utilizando una única vulnerabilidad

Hackear Windows 10 y 11 con secuestro de DLL Search Order sin derechos de administrador

Así hackean conexiones SSH explotando las vulnerabilidades del protocolo SSH

Nuevas vulnerabilidades de DHCP y cómo se explotan en Active Directory

Hackeando Bluetooth con MiTM: El ataque BLUFFS Bluetooth para infiltrarse en Millones de Dispositivos

Seis pasos para presentar denuncias anónimas ante el gobierno contra empresas hackeadas y obligarlas a pagar multas o tomar medidas

Dentro del Exploit: Cómo los Archivos que Subes a ChatGPT Podrían Ser Robados por una Vulnerabilidad

Esta técnica de Google Calendar permite hackear empresas sin ser detectado

Este bot de Telegram es como ChatGPT para que los estafadores para robar dinero a las víctimas

¿Qué tan fácil es bombardear el celular de alguien con miles de mensajes SMS?

¿Cómo proteger los cortafuegos Cisco Firepower Threat Defense (FTD)?

¿Cómo usar el agente de AWS SSM como puerta trasera y hackear servidores de EC2?

La nueva herramienta FraudGPT permite estafar y hackear fácilmente a las víctimas usando IA

El lado oscuro de los archivos PDF: cómo abrir un PDF simple podría desencadenar una pesadilla de ciberseguridad

El mayor proveedor de botellas de refrescos, fabricante de plástico y reciclaje hackeado por ransomware

¿Visitaste thesaurus.com en busca de sinónimos? Tienes una infección de malware Coinminer

Cómo envian malware a través de Teams, esquivando las funciones de seguridad de Teams

2 grandes empresas de hosting en la nube cierran por ransomware y pierden los datos de clientes