.
A Cloudflare acaba de detalhar como suspeitos de espionagem do governo obtiveram acesso à sua instalação interna do Atlassian usando credenciais roubadas por meio de uma violação de segurança em Okta em outubro.
Em um artigo publicado na quinta-feira, o CEO Matthew Prince, o CTO John Graham-Cumming e o CISO Grant Bourzikas disseram que a intrusão da Atlassian foi detectada no Dia de Ação de Graças, 23 de novembro de 2023, e que os invasores foram expulsos no dia seguinte. .
A violação de segurança do Okta em outubro envolveu mais de 130 clientes desse negócio de gerenciamento de acesso de TI, no qual bisbilhoteiros roubaram dados do Okta na esperança de aprofundar ainda mais essas organizações. Cloudflare foi um dos afetados, assim como em 2022, como resultado de uma intrusão separada do Okta.
A Cloudflare reconheceu em outubro que foi apanhada no último colapso de segurança da Okta e agora está divulgando mais detalhes sobre o que aconteceu.
Os intrusos – prováveis agentes de um Estado-nação, segundo Prince e outros – obteve um token de serviço e três credenciais de conta de serviço por meio do compromisso Okta de 2023. Na época, a Okta indicou que as informações roubadas de seus sistemas de suporte ao cliente eram bastante benignas e poderiam ser usadas em coisas como phishing ou ataques de engenharia social. Acontece que os tokens de sessão, que concedem acesso a redes como a Cloudflare, foram retirados dos sistemas da Okta.
“Um deles era um token de serviço Moveworks que concedia acesso remoto ao nosso sistema Atlassian”, disseram Prince, Graham-Cumming e Bourzikas nessa nota.
“A segunda credencial era uma conta de serviço usada pelo aplicativo Smartsheet baseado em SaaS que tinha acesso administrativo à nossa instância Atlassian Jira, a terceira conta era uma conta de serviço Bitbucket usada para acessar nosso sistema de gerenciamento de código-fonte e a quarta era um Ambiente AWS que não tinha acesso à rede global e nenhum cliente ou dados confidenciais.”
Como a Cloudflare acreditou incorretamente que esses tokens não eram utilizados, ela não conseguiu alterá-los. Assim, o ladrão ou ladrões conseguiram usá-los para obter acesso aos sistemas da Cloudflare.
De 14 de novembro de 2023 a 17 de novembro de 2023, os invasores parecem ter investigado os sistemas da Cloudflare, fazendo reconhecimento por meio de seu wiki interno baseado em Confluence e de seu banco de dados de bugs Jira.
Outros acessos foram detectados nos dias 20 e 21 de novembro, após o estabelecimento de uma presença persistente no servidor Atlassasian da empresa em nuvem via ScriptRunner para Jira. Tendo acesso administrativo ao Jira por meio do serviço Smartsheet, os bisbilhoteiros conseguiram instalar o Sliver Adversary Emulation Framework, uma ferramenta comum para conectividade de comando e controle e acesso backdoor.
Os invasores também obtiveram acesso ao sistema de gerenciamento de código-fonte Bitbucket da Cloudflare, mas os esforços para acessar um servidor de console conectado a um datacenter ainda não ativo em São Paulo, Brasil, falharam.
Os invasores, de acordo com o gigante da nuvem, vasculharam o wiki do negócio em busca de informações sobre acesso remoto, segredos e tokens. Também foram de interesse 36 tickets Jira, de mais de dois milhões, que se concentraram no gerenciamento de vulnerabilidades, rotação de segredos, desvio de autenticação multifatorial, acesso à rede e até mesmo a resposta da empresa ao incidente Okta.
Este ataque foi realizado por um invasor estatal com o objetivo de obter acesso persistente e generalizado à rede global da Cloudflare
O interesse dos espiões pelos segredos também ficou evidente nos 120 repositórios de código Bitbucket visualizados de um total de quase 12 mil. Cerca de 76 dos 120 foram baixados para o servidor Atlassian. Embora a Cloudflare não tenha certeza se eles foram exfiltrados, ela os trata como tal. Esses repositórios estavam principalmente relacionados à forma como os backups funcionam, configuração e gerenciamento de rede global, identidade, acesso remoto e Terraform e Kubernetes. Alguns continham segredos criptografados e foram imediatamente alternados, embora fossem fortemente criptografados, de acordo com a gigante norte-americana CDN.
“Embora entendamos que o impacto operacional do incidente é extremamente limitado, levamos esse incidente muito a sério porque um agente da ameaça usou credenciais roubadas para obter acesso ao nosso servidor Atlassian e acessou alguma documentação e uma quantidade limitada de código-fonte”, disse o príncipe e outros.
“Com base em nossa colaboração com colegas da indústria e do governo, acreditamos que este ataque foi realizado por um invasor de um estado-nação com o objetivo de obter acesso persistente e generalizado à rede global da Cloudflare”.
A Cloudflare conseguiu expulsar os invasores até 24 de novembro de 2023 e começou a avaliar os danos e investigar o que aconteceu. Três dias depois, um esforço de remediação em toda a empresa, apelidado de “Código Vermelho”, tornou-se o foco de grande parte de sua equipe técnica. E este projecto foi apoiado pela empresa de segurança externa Crowdstrike, que realizou uma avaliação independente do ataque cibernético.
O Code Red foi concluído em 5 de janeiro de 2024, mas de acordo com Prince, Graham-Cumming e Bourzikas “o trabalho continua em toda a empresa em torno do gerenciamento de credenciais, proteção de software, gerenciamento de vulnerabilidades, alertas adicionais e muito mais”. ®
.
