PUBLICIDADE
Segurança

Cloudflare enfrenta ataque sofisticado com uso de tokens roubados

PUBLICIDADE

Recentemente, a Cloudflare, uma empresa líder em serviços de segurança na web, enfrentou um ataque sofisticado que comprometeu seu servidor Atlassian interno. A ação teve início em outubro de 2023, quando o Okta, um provedor de identidade, foi comprometido.

Na época, o agente da ameaça utilizou tokens de autenticação e credenciais obtidas durante esse comprometimento para acessar o servidor Atlassian da Cloudflare em 14 de novembro. Durante o ataque, os sistemas Confluence, Jira e Bitbucket foram violados, revelando um acesso não autorizado a informações sensíveis.

O invasor realizou uma fase de reconhecimento entre 14 e 17 de novembro, explorando o wiki interno e o banco de dados de bugs da empresa. Após uma breve pausa, o ataque foi retomado em 22 de novembro, com a instalação do Sliver Adversary Emulation Framework no servidor Atlassian usando o ScriptRunner for Jira. Esse framework permitiu acesso persistente e tentativas de movimentos laterais nos sistemas da Cloudflare.

O agente da ameaça utilizou um token de acesso e três credenciais de conta de serviço, previamente roubadas durante o comprometimento do Okta em outubro de 2023, para realizar o ataque. Essas credenciais não foram rotacionadas, facilitando o acesso não autorizado.

Imagem: Cloudflare

Descoberta e resposta da Cloudflare

A Cloudflare detectou a atividade maliciosa em 23 de novembro, cortou o acesso do invasor em 24 de novembro e iniciou uma investigação forense em 26 de novembro. A resposta rápida da empresa foi essencial para conter o impacto operacional. A equipe de segurança da Cloudflare conduziu uma remediação abrangente, alternando mais de 5.000 credenciais de produção, realizando testes segmentados e recriando imagens em toda a rede global da empresa.

Após a remoção do agente da ameaça em 24 de novembro, a Cloudflare lançou o projeto “Code Red” em 27 de novembro. Este esforço focou em fortalecer, validar e remediar todos os controles no ambiente da Cloudflare. A equipe técnica da empresa, incluindo especialistas em segurança, trabalhou intensivamente para garantir a segurança contra futuras intrusões. A CrowdStrike, empresa especializada em segurança cibernética, conduziu uma avaliação independente para corroborar as descobertas internas.

PUBLICIDADE

Cronograma do ataque

O ataque teve início com o comprometimento do Okta em 18 de outubro, mas a ação contra os sistemas da Cloudflare ocorreu em meados de novembro. O agente da ameaça realizou investigações, acessou serviços Atlassian, buscou informações sobre a arquitetura da rede global e tentou movimentos laterais.

A Cloudflare, ao detectar a presença do invasor, agiu rapidamente, desativando as contas comprometidas e implementando regras de firewall para bloquear os endereços IP conhecidos do agente da ameaça. O acesso foi totalmente encerrado em 24 de novembro.

Garantias de segurança e proteção do cliente

A Cloudflare assegura que nenhum dado ou sistema de clientes foi afetado pelo incidente. Seus controles de acesso, regras de firewall e uso de chaves de segurança rígidas foram cruciais para limitar a movimentação lateral do agente da ameaça. A empresa reitera seu compromisso com a segurança e aprimora continuamente seus protocolos para garantir a proteção dos clientes. A Cloudflare reforçou significativamente suas práticas de segurança, evidenciadas pela operação “Code Red”. Essa resposta abrangente destaca a importância de medidas proativas para proteger os dados e sistemas contra ameaças cibernéticas cada vez mais sofisticadas.

PUBLICIDADE

Thiago Santos

Sou um estudante de Ciências e Tecnologia, apaixonado por inovação e sempre antenado nas últimas tendências tecnológicas. Acredito que o futuro está intrinsecamente ligado ao avanço da ciência, e estou empenhado em contribuir para esse progresso. Além dos estudos, sou um apaixonado por cinema e séries. Nos momentos de lazer, valorizo a companhia dos amigos. Gosto de compartilhar risadas, experiências e construir memórias com aqueles que são importantes para mim. Essa convivência é fundamental para equilibrar minha busca por conhecimento e meu amor pelo entretenimento e tecnologia.

Deixe uma resposta

Botão Voltar ao topo
Fechar

Permita anúncios para apoiar nosso site

📢 Desative o bloqueador de anúncios ou permita os anúncios em nosso site para continuar acessando nosso conteúdo gratuitamente. Os anúncios são essenciais para mantermos o jornalismo de qualidade.