Incidente no Data Center Cloudflare em São Paulo: Uma Análise Detalhada

Cloudflare fala sobre seu sucesso no uso do OpenBMC

Em novembro de 2023, a Cloudflare, uma das maiores empresas de infraestrutura de internet do mundo, detectou uma atividade suspeita em seu servidor Atlassian auto-hospedado. A equipe de segurança da Cloudflare agiu rapidamente para iniciar uma investigação e cortar o acesso do ator da ameaça. Além disso, a empresa trouxe a equipe forense da CrowdStrike, uma empresa líder em segurança cibernética, para realizar sua própria análise independente.

O Ataque ao Cloudflare em São Paulo

O ator da ameaça realizou uma série de ações que levaram ao comprometimento de alguns sistemas da Cloudflare. Inicialmente, o ator da ameaça realizou uma atividade de reconhecimento e conseguiu acessar o wiki interno da Cloudflare, que usa o Atlassian Confluence, e o banco de dados de bugs, que usa o Atlassian Jira. Posteriormente, a Cloudflare observou acessos adicionais, indicando que o ator da ameaça pode ter retornado para testar o acesso e garantir que eles ainda tinham conectividade.

Acesso Persistente

O ator da ameaça conseguiu estabelecer um acesso persistente ao servidor Atlassian da Cloudflare usando o ScriptRunner para Jira, um popular add-on que permite aos usuários estender a funcionalidade do Jira. Com esse acesso, o ator da ameaça conseguiu obter acesso ao sistema de gerenciamento de código-fonte da Cloudflare, que usa o Atlassian Bitbucket. Além disso, o ator da ameaça tentou, sem sucesso, acessar um servidor de console que tinha acesso ao data center que a Cloudflare ainda não havia colocado em produção em São Paulo, Brasil.

O Uso de Tokens Roubados da Cloudflare

O ator da ameaça conseguiu realizar essas ações usando um token de acesso e três credenciais de conta de serviço que foram roubadas. Infelizmente, a Cloudflare não conseguiu rotacionar essas credenciais após o comprometimento da Okta em outubro de 2023. Todo o acesso e conexões do ator da ameaça foram encerrados em 24 de novembro e a CrowdStrike confirmou que a última evidência de atividade da ameaça foi em 24 de novembro às 10:44.

A Resposta da Cloudflare sobre o incidente no Data Center em São Paulo

Apesar de a Cloudflare entender que o impacto operacional do incidente seja extremamente limitado, a empresa levou este incidente muito a sério. Isso ocorre porque um ator de ameaças usou credenciais roubadas para obter acesso ao servidor Atlassian da Cloudflare e acessou alguma documentação e uma quantidade limitada de código-fonte.

A Remediação

Para resolver o incidente, a equipe da Cloudflare tomou uma série de medidas. Eles alternaram todas as credenciais de produção, que eram mais de 5 mil exclusivas. Eles também realizaram testes segmentados fisicamente e sistemas de preparação. Além disso, realizaram triagem forense em quase 5.000 sistemas, recriaram imagens e reinicializaram todos os sistemas na rede global da empresa. Isso incluiu todos os servidores Atlassian (Jira, Confluence e Bitbucket) e máquinas acessadas pelo invasor.

O Data Center em São Paulo

Os operadores da ameaça também tentaram invadir o data center da Cloudflare em São Paulo, que ainda não é usado na produção. No entanto, suas tentativas falharam. Todos os equipamentos do data center foram posteriormente devolvidos aos fabricantes para garantir que o data center fosse 100% seguro.

Conclusão

A Cloudflare afirma que a violação não afetou os dados ou sistemas dos clientes. Os serviços, sistemas de rede global ou configuração também não foram afetados. A empresa afirma que sua equipe ainda está trabalhando no fortalecimento do software, bem como no gerenciamento de credenciais e vulnerabilidades. A Cloudflare continua comprometida em fornecer um serviço seguro e confiável para seus clientes e está tomando todas as medidas necessárias para garantir que incidentes como esse não se repitam no futuro.

Acesse a versão completa
Sair da versão mobile