Cloudflare frustra hack a seu data center fora de operação em SP

Empresa afirma que operadores da ameaça tentaram invadir o seu data center em São Paulo — que ainda não é usado na produção — mas as tentativas falharam
Da Redação
02/02/2024

A Cloudflare divulgou nesta quinta-feira, 1º, que seu servidor interno Atlassian foi invadido por um grupo hacker ligado a um Estado-nação que acessou seu wiki do software de colaboração Confluence, o banco de dados de bugs Jira e o sistema de gerenciamento de código-fonte Bitbucket, todos pertencentes à fabricante de software.

O operador da ameaça obteve acesso pela primeira vez ao servidor Atlassian da Cloudflare em 14 de novembro de 2023 e, em seguida, acessou os sistemas Confluence e Jira da empresa após uma fase de reconhecimento. “Eles então retornaram em 22 de novembro e estabeleceram acesso persistente ao servidor usando o ScriptRunner for Jira, obtiveram acesso ao nosso sistema de gerenciamento de código-fonte e tentaram, sem sucesso, acessar um servidor de console que tinha acesso ao data center que a Cloudflare ainda não havia colocado em produção em São Paulo, no Brasil”, disse a Cloudflare em um comunicado.

Para acessar os sistemas, os invasores usaram um token de acesso e três credenciais de conta de serviço roubadas durante um comprometimento anterior vinculado à violação do sistema de gerenciamento de identidade e acesso Okta em outubro de 2023, na qual a Cloudflare não conseguiu fazer a rotação — dos milhares vazaram durante o comprometimento.

A Cloudflare detectou a atividade maliciosa em 23 de novembro, cortou o acesso do hacker na manhã do dia seguinte e seus especialistas forenses em segurança cibernética começaram a investigar o incidente três dias depois, em 26 de novembro.

Ao resolver o incidente, a equipe da Cloudflare alternou todas as credenciais de produção — mais de 5 mil exclusivas —, testes segmentados fisicamente e sistemas de preparação, realizou triagem forense em 4.893 sistemas, recriava imagens e reinicializava todos os sistemas na rede global da empresa, incluindo todos os servidores Atlassian (Jira, Confluence e Bitbucket) e máquinas acessadas pelo invasor.

Os operadores da ameaça também tentaram invadir o data center da Cloudflare em São Paulo — que ainda não é usado na produção — mas as tentativas falharam. Todos os equipamentos do data center foram posteriormente devolvidos aos fabricantes para garantir que o data center fosse 100% seguro.

Veja isso
Sistema de prevenção a DDoS da Cloudflare é usado em ataque
Vulnerabilidades críticas no Salesforce, Windows e Cloudflare

Os esforços de remediação terminaram há quase um mês, em 5 de janeiro, mas a empresa afirma que sua equipe ainda está trabalhando no fortalecimento do software, bem como no gerenciamento de credenciais e vulnerabilidades.

A empresa afirma que a violação não afetou os dados ou sistemas dos clientes. Os serviços, sistemas de rede global ou configuração também não foram afetados. “Embora entendamos que o impacto operacional do incidente é extremamente limitado, levamos esse incidente muito a sério porque o operador de ameaça usou credenciais roubadas para obter acesso ao nosso servidor e acessou alguma documentação e uma quantidade limitada de código-fonte”, disse a Cloudflare.

Em 18 de outubro de 2023, a instância Okta da Cloudflare foi violada usando um token de autenticação roubado do sistema de suporte da empresa americana de gerenciamento de identidade e acesso. 

Para mais detalhes (em inglês) sobre a operação da Cloudflare que impediu a invasão do seu data center clique aqui.

Compartilhar:

Últimas Notícias