Em novembro de 2023, a Cloudflare, uma das maiores empresas de infraestrutura de internet do mundo, detectou uma atividade suspeita em seu servidor Atlassian auto-hospedado. A equipe de segurança da Cloudflare agiu rapidamente para iniciar uma investigação e cortar o acesso do ator da ameaça. Além disso, a empresa trouxe a equipe forense da CrowdStrike, uma empresa líder em segurança cibernética, para realizar sua própria análise independente.
O Ataque ao Cloudflare em São Paulo
O ator da ameaça realizou uma série de ações que levaram ao comprometimento de alguns sistemas da Cloudflare. Inicialmente, o ator da ameaça realizou uma atividade de reconhecimento e conseguiu acessar o wiki interno da Cloudflare, que usa o Atlassian Confluence, e o banco de dados de bugs, que usa o Atlassian Jira. Posteriormente, a Cloudflare observou acessos adicionais, indicando que o ator da ameaça pode ter retornado para testar o acesso e garantir que eles ainda tinham conectividade.
Acesso Persistente
O ator da ameaça conseguiu estabelecer um acesso persistente ao servidor Atlassian da Cloudflare usando o ScriptRunner para Jira, um popular add-on que permite aos usuários estender a funcionalidade do Jira. Com esse acesso, o ator da ameaça conseguiu obter acesso ao sistema de gerenciamento de código-fonte da Cloudflare, que usa o Atlassian Bitbucket. Além disso, o ator da ameaça tentou, sem sucesso, acessar um servidor de console que tinha acesso ao data center que a Cloudflare ainda não havia colocado em produção em São Paulo, Brasil.
O Uso de Tokens Roubados da Cloudflare
O ator da ameaça conseguiu realizar essas ações usando um token de acesso e três credenciais de conta de serviço que foram roubadas. Infelizmente, a Cloudflare não conseguiu rotacionar essas credenciais após o comprometimento da Okta em outubro de 2023. Todo o acesso e conexões do ator da ameaça foram encerrados em 24 de novembro e a CrowdStrike confirmou que a última evidência de atividade da ameaça foi em 24 de novembro às 10:44.
A Resposta da Cloudflare sobre o incidente no Data Center em São Paulo
Apesar de a Cloudflare entender que o impacto operacional do incidente seja extremamente limitado, a empresa levou este incidente muito a sério. Isso ocorre porque um ator de ameaças usou credenciais roubadas para obter acesso ao servidor Atlassian da Cloudflare e acessou alguma documentação e uma quantidade limitada de código-fonte.
A Remediação
Para resolver o incidente, a equipe da Cloudflare tomou uma série de medidas. Eles alternaram todas as credenciais de produção, que eram mais de 5 mil exclusivas. Eles também realizaram testes segmentados fisicamente e sistemas de preparação. Além disso, realizaram triagem forense em quase 5.000 sistemas, recriaram imagens e reinicializaram todos os sistemas na rede global da empresa. Isso incluiu todos os servidores Atlassian (Jira, Confluence e Bitbucket) e máquinas acessadas pelo invasor.
O Data Center em São Paulo
Os operadores da ameaça também tentaram invadir o data center da Cloudflare em São Paulo, que ainda não é usado na produção. No entanto, suas tentativas falharam. Todos os equipamentos do data center foram posteriormente devolvidos aos fabricantes para garantir que o data center fosse 100% seguro.
Conclusão
A Cloudflare afirma que a violação não afetou os dados ou sistemas dos clientes. Os serviços, sistemas de rede global ou configuração também não foram afetados. A empresa afirma que sua equipe ainda está trabalhando no fortalecimento do software, bem como no gerenciamento de credenciais e vulnerabilidades. A Cloudflare continua comprometida em fornecer um serviço seguro e confiável para seus clientes e está tomando todas as medidas necessárias para garantir que incidentes como esse não se repitam no futuro.