Um hacker conseguiu comprometer a infraestrutura
Cloudflare revelado por meio de uma postagem no blog, um relatório sobre o hack de um dos servidores de sua infraestrutura, o relatório detalha o incidente ocorrido no “Dia de Ação de Graças de 2023” e destaca que em 23 de novembro de 2023, Um hacker acessou o servidor Atlassian auto-hospedado da empresa.
este servidor operava um site wiki interno baseado na plataforma Atlassian Confluence, o sistema de rastreamento de problemas Atlassian Jira e o sistema de gerenciamento de código Bitbucket. A análise revelou que o invasor conseguiu obter acesso ao servidor usando tokens obtidos como resultado do hack do Okta em outubro, que resultou no vazamento dos tokens de acesso.
Após a divulgação do hack do Okta, a Cloudflare iniciou o processo de atualização de credenciais, chaves e tokens usados por meio dos serviços Okta. Porém, Foi descoberto que, como resultado, um token e três contas (entre vários milhares) eles permaneceram comprometidos e foi porque essas credenciais não foram substituídas que o invasor aproveitou esse descuido.
Queremos enfatizar aos nossos clientes que este evento não impactou os dados ou sistemas dos clientes da Cloudflare. Devido aos nossos controles de acesso, regras de firewall e ao uso de chaves de segurança físicas aplicadas por meio de nossas próprias ferramentas Zero Trust, a capacidade do agente da ameaça de se mover lateralmente era limitada. Nenhum serviço foi envolvido e nenhuma alteração foi feita em nossos sistemas ou na configuração da rede global. Esta é a promessa de uma arquitetura Zero Trust: é como anteparas de um navio onde o comprometimento de um sistema não pode comprometer toda a organização.
Embora essas credenciais tenham sido consideradas inutilizáveis, na verdade, acesso permitido à plataforma Atlassian, o sistema de gerenciamento de código Bitbucket, um aplicativo SaaS com acesso administrativo ao ambiente Atlassian Jira e um ambiente em AWS que atende o diretório de aplicativos Cloudflare. É importante ressaltar que este ambiente não tem acesso à infraestrutura CDN e não armazena dados confidenciais.
O incidente não afetou os dados ou sistemas dos usuários da Cloudflare. Uma auditoria determinou que o ataque se limitou a sistemas que executam produtos Atlassian e não se espalhou para outros servidores. Isso é atribuído ao modelo Zero Trust da Cloudflare e ao isolamento de partes da infraestrutura, que limitou a propagação do ataque. A Cloudflare menciona que também implementou regras de firewall para bloquear endereços IP de invasores conhecidos e que a estrutura de emulação Sliver Adversary foi removida em 24 de novembro.
É mencionado que o hack do servidor Cloudflare foi descoberto em 23 de novembro, mas Os primeiros sinais de acesso não autorizado ao wiki e ao sistema de rastreamento de problemas foram registrados em 14 de novembro. Em 22 de novembro, o invasor instalou um backdoor para obter acesso permanente, usando o ScriptRunner for Jira. Nesse mesmo dia, o invasor também obteve acesso ao sistema de controle, que utilizava a plataforma Atlassian Bitbucket. Posteriormente, foi feita uma tentativa de conexão com o servidor console usado para acessar um data center no Brasil que ainda não havia sido comissionado, mas todas as tentativas de conexão foram negadas.
Aparentemente, A atividade do invasor limitou-se ao estudo da arquitetura da rede de distribuição de conteúdo e procure pontos fracos. Usei uma pesquisa no wiki por palavras-chave relacionadas a acesso remoto, segredos, openconnect, cloudflare e tokens.
O invasor acessou 202 páginas wiki (de 194,100) e 36 relatórios de problemas (de 2,059,357) relacionados ao gerenciamento de vulnerabilidades e rotação de chaves. Também foi detectado o download de 120 repositórios de códigos (de um total de 11,904), a maioria relacionados a backup, configuração e gerenciamento de CDN, sistemas de identidade, acesso remoto e uso de plataformas Terraform e Kubernetes. Alguns dos repositórios continham chaves criptografadas deixadas no código, que foram substituídas imediatamente após o incidente, apesar do uso de métodos de criptografia confiáveis.
finalmente se você está interessado em saber mais sobre o assunto, você pode verificar os detalhes no link a seguir.