Cloudflare divulga código e documentos acessados por hackers em 2023 Okta Breach
A Cloudflare revelou que sofreu um provável ataque estatal, onde o agente da ameaça utilizou credenciais roubadas para obter entrada não autorizada em seu servidor Atlassian, obtendo acesso a alguma documentação e a uma quantidade limitada de código-fonte.
A violação ocorreu de 14 a 24 de novembro de 2023, com detecção em 23 de novembro. Cloudflare caracterizou o ator como “sofisticado”, operando com uma abordagem deliberada e metódica para obter acesso persistente e generalizado à rede global da empresa.
Como medida de precaução, a Cloudflare alternou mais de 5.000 credenciais de produção, segmentou fisicamente sistemas de teste e preparação, conduziu triagens forenses em 4.893 sistemas e recriava imagens e reinicializava todas as máquinas em sua rede global.
Durante o incidente, um período de reconhecimento de quatro dias permitiu que o agente da ameaça acessasse os portais Atlassian Confluence e Jira. Posteriormente, uma conta de usuário desonesta da Atlassian foi criada, estabelecendo acesso persistente ao servidor Atlassian e, por fim, obtendo acesso ao sistema de gerenciamento de código-fonte Bitbucket usando a estrutura de simulação de adversário Sliver.
Repositórios de código acessados por invasores
Aproximadamente 120 repositórios de código foram acessados, e estima-se que 76 tenham sido exfiltrados pelo invasor. Esses repositórios pertenciam principalmente a processos de backup, configuração e gerenciamento de rede global, práticas de identidade na Cloudflare, acesso remoto e utilização de Terraform e Kubernetes pela empresa.
A Cloudflare afirmou que alguns repositórios continham segredos criptografados, que foram prontamente alternados apesar de sua criptografia forte.
O ator da ameaça tentou, sem sucesso, acessar um servidor de console vinculado a um data center em São Paulo, Brasil, ainda não em produção.
O ataque explorou um token de acesso e três credenciais de conta de serviço associadas à Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks e Smartsheet. Essas credenciais foram roubadas em outubro de 2023 durante o hack do sistema de gerenciamento de casos de suporte da Okta. A Cloudflare reconheceu uma falha na rotação dessas credenciais, presumindo erroneamente que não foram utilizadas.
A empresa encerrou todas as conexões maliciosas do autor da ameaça em 24 de novembro de 2023 e contratou a empresa de segurança cibernética CrowdStrike para uma avaliação independente do incidente.