Cloudflare detalló cómo un presunto espía del gobierno obtuvo acceso a su instalación interna de Atlassian utilizando credenciales robadas en una violación de Okta en octubre.
En un artículo del jueves, el CEO Matthew Prince, el CTO John Graham Cumming y el CISO Grant Burzikas dijeron que la intrusión de Atlassian ya había sido detectada el Día de Acción de Gracias, el 23 de noviembre de 2023, y que el intruso dijo que fue expulsado al día siguiente.
La violación de seguridad de Okta en octubre involucró a más de 130 clientes en el negocio de gestión de acceso a TI, y los fisgones robaron datos de Okta para investigar más a fondo esas organizaciones. Cloudflare también se vio afectada en 2022 como resultado de otra infracción de Okta.
Cloudflare reconoció en octubre que estuvo involucrado en el último problema de seguridad de Okta y ahora está revelando más detalles sobre lo sucedido.
El intruso (quizás un agente estatal, según Prince et al.) obtuvo un token de servicio y tres credenciales de cuenta de servicio a través de la violación de Okta de 2023. En ese momento, Okta sugirió que la información robada de sus sistemas de atención al cliente era muy benigna y podría usarse para cosas como phishing y ataques de ingeniería social. Se descubrió que los tokens de sesión que permiten el acceso a redes como Cloudflare fueron robados de los sistemas de Okta.
“Uno de ellos era un token de servicio Moveworks que permitía el acceso remoto a los sistemas Atlassian”, dijeron Prince, Graham-Cumming y Bourzikas.
“La segunda credencial era una cuenta de servicio utilizada por una aplicación Smartsheet basada en SaaS con acceso administrativo a una instancia de Atlassian Jira. La tercera cuenta era una cuenta de servicio de Bitbucket utilizada para acceder a un sistema de control de código fuente. La cuarta cuenta era un entorno de AWS con sin acceso a la red global y sin datos confidenciales o de clientes.
Cloudflare pensó incorrectamente que estos tokens no estaban en uso y no pudo rotarlos. Como resultado, los ladrones pudieron utilizar los tokens para obtener acceso a los sistemas de Cloudflare.
Desde el 14 de noviembre de 2023 hasta el 17 de noviembre de 2023, el intruso parecía estar sondeando los sistemas de Cloudflare, realizando un reconocimiento a través de su wiki interno basado en Confluence y la base de datos de errores de Jira.
Se detectó más acceso los días 20 y 21 de noviembre después de que se estableciera un acceso persistente a los servidores Atlassasian de la compañía de nube a través de ScriptRunner para Jira. Snoop, que tenía acceso administrativo a Jira a través del servicio Smartsheet, pudo instalar Sliver Adversary Emulation Framework, una herramienta popular para conexiones de comando y control y acceso por puerta trasera.
Los intrusos también obtuvieron acceso al sistema de gestión de código fuente Bitbucket de Cloudflare, pero los intentos de acceder a un servidor de consola vinculado a un centro de datos aún no operativo en São Paulo, Brasil, no tuvieron éxito.
El gigante de la nube dijo que los intrusos revisaron su wiki en busca de información sobre acceso remoto, secretos y tokens. También fueron de interés 36 de los más de 2 millones de tickets de Jira que se centraron en la gestión de vulnerabilidades, la rotación de secretos, la omisión de autenticación multifactor, el acceso a la red e incluso la respuesta de la empresa al incidente de Okta.
Este ataque fue llevado a cabo por un atacante de un estado-nación con el objetivo de obtener acceso persistente y generalizado a la red global de Cloudflare.
El interés del espía por el secreto también fue evidente en los 120 repositorios de códigos de Bitbucket vistos, de un total de aproximadamente 12.000. Aproximadamente 76 de los 120 se descargaron en servidores de Atlassian. Cloudflare no está seguro de si se filtraron o no, pero los trata como tal. Estos repositorios estaban relacionados principalmente con mecanismos de respaldo, configuración y administración de redes globales, identidad, acceso remoto, Terraform y Kubernetes. El gigante estadounidense CDN dijo que algunos contenían secretos cifrados que fueron rápidamente eliminados, a pesar de que estaban fuertemente cifrados.
“Si bien reconocemos que el impacto operativo de este incidente es extremadamente limitado, los actores de amenazas utilizaron credenciales robadas para acceder a nuestros servidores Atlassian y recuperar algunos documentos y una cantidad limitada de información. Tomamos este incidente muy en serio porque teníamos acceso al código fuente. de
“Basándonos en nuestra colaboración con colegas de la industria y el gobierno, creemos que este ataque fue llevado a cabo por un actor-estado-nación con el objetivo de obtener acceso sostenido y generalizado a la red global de Cloudflare”.
El 24 de noviembre de 2023, Cloudflare pudo expulsar con éxito al atacante y comenzó a evaluar los daños e investigar lo sucedido. Tres días después, gran parte del personal técnico de la empresa comenzó a centrarse en un esfuerzo de reparación en toda la empresa conocido como “Código Rojo”. El proyecto contó con el apoyo de la empresa de seguridad externa Crowdstrike, que realizó una evaluación independiente del ciberataque.
Code Red finalizó el 5 de enero de 2024, pero según Prince, Graham-Cumming y Bourzikas, “el trabajo continúa en toda la empresa en gestión de credenciales, refuerzo de software, gestión de vulnerabilidades, alertas adicionales y más”®.
Fuente: https://www.theregister.com/AMP/2024/02/02/cloudflare_okta_atlassian/