X-twitter
Buscar
Cerrar este cuadro de búsqueda.
  • Seguridad
  • 3 minutos de lectura

Brecha de seguridad en Cloudflare: Hackers acceden al código fuente y documentos internos

Cloudflare, la reconocida empresa de infraestructura web, ha sido el blanco de un ataque cibernético presuntamente orquestado por un grupo de hackers. El incidente, que se descubrió había ocurrido entre el 14 y el 24 de noviembre de 2023, permitió a los atacantes acceder de manera no autorizada a su servidor de Atlassian, obteniendo acceso a cierta documentación y una cantidad limitada de código fuente.

Cloudflare detectó la intrusión el 23 de noviembre, describiendo al actor de la amenaza como «sofisticado» y que «operó de manera reflexiva y metódica» con el objetivo de lograr un acceso persistente y generalizado a la red global de la compañía.

Medidas de Precaución Adoptadas

Como medida de precaución, Cloudflare anunció que rotó más de 5,000 credenciales de producción, segmentó físicamente los sistemas de prueba y ensayo, realizó triajes forenses en 4,893 sistemas, y reimprimió y reinició cada máquina a través de su red global.

El ataque implicó un período de reconocimiento de cuatro días para acceder a los portales de Atlassian Confluence y Jira. Posteriormente, el adversario creó una cuenta de usuario de Atlassian falsa y estableció acceso persistente a su servidor de Atlassian para finalmente obtener acceso a su sistema de gestión de código fuente Bitbucket a través del marco de simulación de adversarios Sliver.

Alcance del Acceso No Autorizado

Se estima que el atacante visualizó hasta 120 repositorios de código, de los cuales se cree que 76 fueron exfiltrados. Estos repositorios contenían información principalmente relacionada con los procedimientos de respaldo, configuración y gestión de la red global, identidad en Cloudflare, acceso remoto y el uso de Terraform y Kubernetes.

Cloudflare afirmó que «un pequeño número de los repositorios contenía secretos cifrados, los cuales fueron rotados inmediatamente a pesar de estar fuertemente cifrados».

El actor de la amenaza también intentó sin éxito acceder a un servidor de consola que tenía acceso al centro de datos que Cloudflare aún no había puesto en producción en São Paulo, Brasil.

Vulnerabilidad Explotada y Respuesta de Cloudflare

El ataque fue facilitado por el uso de un token de acceso y tres credenciales de cuenta de servicio asociadas con Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks y Smartsheet, que fueron robadas tras el hackeo del sistema de gestión de casos de soporte de Okta en octubre de 2023. Cloudflare admitió no haber rotado estas credenciales, asumiendo erróneamente que no se utilizaban.

La compañía también tomó medidas para terminar todas las conexiones maliciosas originadas por el actor de la amenaza el 24 de noviembre de 2023 y contrató a la firma de ciberseguridad CrowdStrike para realizar una evaluación independiente del incidente.

Cloudflare reafirma que el único sistema de producción al que el actor de la amenaza pudo acceder usando las credenciales robadas fue su entorno de Atlassian. Basándose en el análisis de las páginas wiki accedidas, los problemas de la base de datos de errores y los repositorios de código fuente, parece que buscaban información sobre la arquitectura, seguridad y gestión de su red global.

fuente: The Hacker news

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Noticias Cloud

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

LO ÚLTIMO

Burkina Faso iniciará la construcción de un Centro de Datos alimentado por planta de energía de residuos

La Huella Digital en Internet y el rastro que vamos dejando

Snowflake se asocia con Meta para alojar y optimizar una nueva familia de modelos insignia en Snowflake Cortex AI

Kubernetes vs. Docker

© Copyright 1995-2024 Color Vivo Internet SLU. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.

×