En un ataque audaz, individuos perturbadores respaldados por un estado-nación intentaron penetrar en la red global de Cloudflare. Utilizando credenciales robadas que estaban relacionadas con el hackeo del sistema Okta en octubre de 2023.
La compañía, detectó la actividad maliciosa el 23 de noviembre del 2023, tomando medidas inmediatas para cortar el acceso al invasor el 24 de noviembre. El equipo de ciberseguridad de Cloudflare inició una investigación forense el 26 de noviembre, desentrañando la intrusión.
Respuesta relámpago y fortificación total
Ante esta amenaza sin precedentes, el personal de Cloudflare actuó con decisión. Rotaron más de 5,000 credenciales de producción, aislando físicamente sistemas de prueba y escenario, llevando a cabo una minuciosa evaluación forense en 4,893 sistemas. Todos los servidores de Atlassian (Jira, Confluence y Bitbucket) y las máquinas accedidas por los atacantes fueron reimplementado y reiniciados en la red global de la empresa.
A pesar de los intentos de los atacantes por infiltrarse en el centro de datos de Cloudflare en São Paulo, todas las maniobras fracasaron. Para garantizar la seguridad del centro de datos en Brasil, se devolvieron todos los equipos a los fabricantes.
Persistencia en la mejora de la seguridad
Aunque las medidas correctivas concluyeron el 5 de enero, Cloudflare continúa trabajando incansablemente en el fortalecimiento de sus sistemas. El enfoque está en la gestión de credenciales y vulnerabilidades, así como en el robustecimiento del software para prevenir futuros ataques.
Protegiendo la información del cliente
En un mensaje tranquilizador, Cloudflare asegura a sus clientes que la brecha no afectó datos ni sistemas del cliente. Los servicios, la red global y la configuración de Cloudflare permanecieron intactos. A pesar de la intrusión, la compañía destaca que la amenaza fue contenida y minimizada, evitando impactos significativos.
Orquestado por una Nación-Estado
La investigación revela que los atacantes buscaban información detallada sobre la arquitectura, seguridad y gestión de la red global de Cloudflare. La compañía, en colaboración con colegas de la industria y el gobierno, sostiene que este ataque lleva la firma de un actor respaldado por un estado-nación, con el objetivo de obtener un acceso persistente y generalizado a la red global de Cloudflare.
Antecedentes de ataque y resistencia previos
Este no es el primer enfrentamiento de Cloudflare con ciberamenazas. Previas tentativas de intrusión fueron bloqueadas en agosto de 2022, cuando atacantes intentaron utilizar credenciales de empleados robadas en un ataque de phishing, pero fueron detenidos gracias a la ausencia de llaves de seguridad FIDO2 de la compañía en posesión de las víctimas.
La compañía insta a la comunidad a mantenerse vigilante y refuerza su compromiso de mantener la integridad y seguridad de sus sistemas globales. En una era donde los ciberataques son cada vez más sofisticados, Cloudflare demuestra su capacidad para resistir y evolucionar en la defensa de la ciberseguridad empresarial.
#Cloudflare #Okta #Ciberataque #Jira # Atlassian #Confluence #Bitbucket