Recentemente, a Cloudflare, uma empresa líder em serviços de segurança na web, enfrentou um ataque sofisticado que comprometeu seu servidor Atlassian interno. A ação teve início em outubro de 2023, quando o Okta, um provedor de identidade, foi comprometido.
Na época, o agente da ameaça utilizou tokens de autenticação e credenciais obtidas durante esse comprometimento para acessar o servidor Atlassian da Cloudflare em 14 de novembro. Durante o ataque, os sistemas Confluence, Jira e Bitbucket foram violados, revelando um acesso não autorizado a informações sensíveis.
O invasor realizou uma fase de reconhecimento entre 14 e 17 de novembro, explorando o wiki interno e o banco de dados de bugs da empresa. Após uma breve pausa, o ataque foi retomado em 22 de novembro, com a instalação do Sliver Adversary Emulation Framework no servidor Atlassian usando o ScriptRunner for Jira. Esse framework permitiu acesso persistente e tentativas de movimentos laterais nos sistemas da Cloudflare.
O agente da ameaça utilizou um token de acesso e três credenciais de conta de serviço, previamente roubadas durante o comprometimento do Okta em outubro de 2023, para realizar o ataque. Essas credenciais não foram rotacionadas, facilitando o acesso não autorizado.
Descoberta e resposta da Cloudflare
A Cloudflare detectou a atividade maliciosa em 23 de novembro, cortou o acesso do invasor em 24 de novembro e iniciou uma investigação forense em 26 de novembro. A resposta rápida da empresa foi essencial para conter o impacto operacional. A equipe de segurança da Cloudflare conduziu uma remediação abrangente, alternando mais de 5.000 credenciais de produção, realizando testes segmentados e recriando imagens em toda a rede global da empresa.
Após a remoção do agente da ameaça em 24 de novembro, a Cloudflare lançou o projeto “Code Red” em 27 de novembro. Este esforço focou em fortalecer, validar e remediar todos os controles no ambiente da Cloudflare. A equipe técnica da empresa, incluindo especialistas em segurança, trabalhou intensivamente para garantir a segurança contra futuras intrusões. A CrowdStrike, empresa especializada em segurança cibernética, conduziu uma avaliação independente para corroborar as descobertas internas.
Cronograma do ataque
O ataque teve início com o comprometimento do Okta em 18 de outubro, mas a ação contra os sistemas da Cloudflare ocorreu em meados de novembro. O agente da ameaça realizou investigações, acessou serviços Atlassian, buscou informações sobre a arquitetura da rede global e tentou movimentos laterais.
A Cloudflare, ao detectar a presença do invasor, agiu rapidamente, desativando as contas comprometidas e implementando regras de firewall para bloquear os endereços IP conhecidos do agente da ameaça. O acesso foi totalmente encerrado em 24 de novembro.
Garantias de segurança e proteção do cliente
A Cloudflare assegura que nenhum dado ou sistema de clientes foi afetado pelo incidente. Seus controles de acesso, regras de firewall e uso de chaves de segurança rígidas foram cruciais para limitar a movimentação lateral do agente da ameaça. A empresa reitera seu compromisso com a segurança e aprimora continuamente seus protocolos para garantir a proteção dos clientes. A Cloudflare reforçou significativamente suas práticas de segurança, evidenciadas pela operação “Code Red”. Essa resposta abrangente destaca a importância de medidas proativas para proteger os dados e sistemas contra ameaças cibernéticas cada vez mais sofisticadas.
