A Cloudflare revelou que foi branco de um provável ataque estatal no qual o ator da prenúncio aproveitou credenciais roubadas para obter entrada não autorizado ao seu servidor Atlassian e, por termo, acessar alguma documentação e uma quantidade limitada de código-fonte.
A intrusão, que ocorreu entre 14 e 24 de novembro de 2023, e detetada em 23 de novembro, foi realizada “com o objetivo de obter entrada persistente e generalizado à rede global da Cloudflare”, disse a empresa de infraestrutura web, descrevendo o ator porquê “ sofisticado” e alguém que “operava de maneira ponderada e metódica”.
Porquê medida de sobreaviso, a empresa disse ainda que rodou mais de 5.000 credenciais de produção, testes segmentados fisicamente e sistemas de preparação, realizou triagens forenses em 4.893 sistemas, recriou imagens e reiniciou todas as máquinas em sua rede global.
O incidente envolveu um período de reconhecimento de quatro dias para acessar os portais Atlassian Confluence e Jira, posteriormente o qual o opoente criou uma conta de usuário desonesta da Atlassian e estabeleceu entrada persistente ao seu servidor Atlassian para obter entrada ao sistema de gerenciamento de código-fonte Bitbucket por meio do Estrutura de simulação de opoente Sliver.
Foram visualizados até 120 repositórios de código, dos quais estima-se que 76 tenham sido exfiltrados pelo invasor.
“Os 76 repositórios de código-fonte estavam quase todos relacionados ao modo porquê os backups funcionam, porquê a rede global é configurada e gerenciada, porquê a identidade funciona na Cloudflare, entrada remoto e nosso uso de Terraform e Kubernetes”, disse Cloudflare.
“Um pequeno número de repositórios continha segredos criptografados que foram alternados imediatamente, embora eles próprios estivessem fortemente criptografados.”
Diz-se logo que o ator da prenúncio tentou, sem sucesso, “acessar um servidor de console que tinha entrada ao data center que a Cloudflare ainda não havia posto em produção em São Paulo, Brasil”.
O ataque foi provável usando um token de entrada e três credenciais de conta de serviço associadas a Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks e Smartsheet que foram roubadas posteriormente o hack de outubro de 2023 do sistema de gerenciamento de casos de suporte da Okta.
A Cloudflare reconheceu que não conseguiu intervalar essas credenciais, presumindo erroneamente que não eram utilizadas.
A empresa também disse que tomou medidas para fechar todas as conexões maliciosas originadas do responsável da prenúncio em 24 de novembro de 2023. Também envolveu a empresa de segurança cibernética CrowdStrike para realizar uma avaliação independente do incidente.
“Os únicos sistemas de produção que o agente da prenúncio conseguiu acessar usando as credenciais roubadas foi nosso envolvente Atlassian. Analisando as páginas wiki que acessaram, problemas de banco de dados de bugs e repositórios de código-fonte, parece que eles estavam procurando informações sobre arquitetura, segurança e gerenciamento da nossa rede global”, disse Cloudflare.
