Operadores de ameaças foram rastreados explorando uma ferramenta de código aberto chamada Cloudflared para manter acesso persistente a sistemas e roubar informações sem serem detectados, relata a empresa de segurança cibernética GuidePoint Security.
O Cloudflared é um software cliente de linha de comando para o Cloudflare Tunnel, um daemon de encapsulamento para proxy de tráfego entre a rede Cloudflare e a do usuário. Daemon é um programa que roda em background como um processo, sem terminal ou interface. A ferramenta cria uma conexão de saída por HTTPS, com as configurações da conexão gerenciáveis por meio do painel Cloudflare Zero Trust.
Por meio da Cloudflared, serviços como SSH (Secure Socket Shell), RDP (Remote Desktop Protocol), SMB (bloco de mensagens do servidor de host) e outros podem ser acessados diretamente de fora, sem a necessidade de modificar regras de firewall.
Para os operadores de ameaças, isso representa uma grande oportunidade de manter o acesso ao ambiente da vítima sem se expor. No entanto, o invasor precisa acessar o sistema de destino para executar o Cloudflared e estabelecer a conexão.
“Como a execução do Cloudflared requer apenas o token associado ao túnel que eles criaram, o [atacante] pode iniciar esses comandos sem expor nenhuma de suas configurações na máquina da vítima antes de uma conexão de túnel bem-sucedida”, explica o GuidePoint.
Depois que o túnel é estabelecido, a Cloudflared mantém a configuração no processo em execução, o que permite que o invasor faça alterações em tempo real assim que a conexão for estabelecida. Tudo o que o invasor precisa é que o RDP e o SMB sejam ativados na máquina da vítima.
Veja isso
Microsoft revela envio de phishing por hackers russos via Teams
Hackers usam redes proxy para invadir servidores SSH vulneráveis
“Do ponto de vista da máquina da vítima, as configurações são puxadas no início da conexão e sempre que há uma alteração feita na configuração do Cloudflare Tunnel. O túnel é atualizado assim que a alteração da configuração é feita no Cloudflare Dashboard”, observa o GuidePoint. Isso permite que os invasores habilitem a funcionalidade necessária apenas quando desejam executar operações na máquina da vítima e, em seguida, desabilitem-na para impedir a detecção, diz a empresa.
Considerando que o Cloudflared é uma ferramenta legítima com suporte nos principais sistemas operacionais e que estabelece conexões de saída com a infraestrutura do Cloudflare, a maioria das defesas de rede permitirá o tráfego. Ele também possibilitará que os invasores mantenham o acesso à rede da vítima sem expor sua infraestrutura, exceto pelo token atribuído ao seu túnel.