Cloudflare reveló hoy una violación de seguridad, revelando que un presunto atacante de un estado-nación se infiltró en su servidor interno Atlassian. El ataque, que comenzó el 14 de noviembre, comprometió la wiki Confluence de Cloudflare, la base de datos de errores de Jira y el sistema de gestión de código fuente de Bitbucket. ¿Cómo obtuvieron los atacantes acceso por primera vez a los sistemas de Cloudflare? Los atacantes accedieron por primera vez al servidor Atlassian de Cloudflare el 14 de noviembre y realizaron un reconocimiento antes de regresar el 22 de noviembre para establecer un acceso persistente. Usaron ScriptRunner para Jira y accedieron al sistema de administración de código fuente Bitbucket de Cloudflare. Los esfuerzos para acceder a un servidor de consola conectado a un centro de datos aún no inaugurado en São Paulo, Brasil, no tuvieron éxito. ¿Qué métodos utilizaron los atacantes para comprometer la seguridad de Cloudflare? Los atacantes utilizaron un token de acceso y tres credenciales de cuentas de servicio previamente robadas durante la violación de Okta en octubre de 2023. Cloudflare detectó la actividad maliciosa el 23 de noviembre y rápidamente cortó el acceso del hacker en la mañana del 24 de noviembre. La violación de Okta La violación de Okta en 2023 fue causada por el compromiso de la cuenta de un ingeniero de atención al cliente de Okta. Esta infracción se atribuyó a una sofisticada campaña de phishing dirigida al ingeniero de soporte. Los atacantes, después de obtener acceso a la cuenta del ingeniero de soporte, podrían ver y realizar acciones dentro de las cuentas de Okta de varios clientes de Okta. ¿Cómo respondió la empresa? El equipo de ciberseguridad de Cloudflare inició una investigación el 26 de noviembre. La compañía rotó más de 5000 credenciales de producción, realizó una clasificación forense de 4893 sistemas y reinició su red global, incluidos todos los servidores Atlassian. Cloudflare devolvió el equipo de su centro de datos de Brasil a los fabricantes para garantizar la seguridad. Los esfuerzos de remediación concluyeron el 5 de enero, cuando Cloudflare mejoró activamente el fortalecimiento del software, las credenciales y la gestión de vulnerabilidades. Bleeping Computer informa que la instancia Okta de Cloudflare experimentó una violación el 18 de octubre de 2023, que afectó a 134 clientes. Cloudflare contuvo con éxito ese incidente, garantizando que no se comprometieran los datos de los clientes. El director ejecutivo de Cloudflare, Matthew Prince, el director de tecnología John Graham-Cumming y el CISO Grant Bourzikas dicen que la infracción tuvo un impacto operativo limitado, pero se tomó en serio debido al acceso confidencial obtenido por los atacantes. La compañía afirma que el ataque tenía como objetivo obtener un acceso generalizado a la red global de Cloudflare, pero confirma la seguridad de los datos y sistemas de sus clientes: aunque entendemos que el impacto operativo del incidente es extremadamente limitado, lo tomamos muy en serio porque El actor de amenazas había utilizado credenciales robadas para obtener acceso a nuestro servidor Atlassian y accedió a cierta documentación y una cantidad limitada de código fuente, dijo el equipo de liderazgo de Cloudflare (fuente) La importancia de medidas de seguridad proactivas Para evitar incidentes como la violación de Cloudflare, las empresas deben implementar : Rotación y monitoreo regulares de credenciales: actualice y monitoree rápidamente las credenciales, especialmente después de incidentes de seguridad en sistemas interconectados. Capacitación mejorada de los empleados: céntrese en la concientización sobre el phishing y la educación sobre amenazas cibernéticas para reducir el riesgo de robo de credenciales. Modelo de seguridad Zero-Trust: implemente una política en la que cada solicitud de acceso se verifique rigurosamente. Aplicación de MFA: fortalezca las defensas exigiendo autenticación multifactor en todos los sistemas. Sistemas avanzados de detección de amenazas: utilice sistemas que puedan identificar y alertar sobre actividades sospechosas. Plan de respuesta rápida a incidentes: tenga un plan bien establecido para actuar rápidamente cuando se detecte una infracción. Gestión de riesgos de proveedores: evalúe y mitigue los riesgos que plantean los proveedores externos y sus posturas de seguridad. Si le gustó este artículo, síganos en LinkedIn, Twitter, Facebook y YouTube para obtener más noticias y temas sobre ciberseguridad. Si te ha gustado este post, disfrutarás de nuestra newsletter. Obtenga actualizaciones de ciberseguridad que realmente querrá leer directamente en su bandeja de entrada. Madalina, una experimentada creadora de contenido digital en Heimdal®, combina su pasión por la ciberseguridad con una experiencia de 8 años en consultoría de relaciones públicas y responsabilidad social corporativa. Habilidosa para hacer accesibles temas cibernéticos complejos, cierra la brecha entre los expertos cibernéticos y el público más amplio con delicadeza. URL de la publicación original: https://heimdalsecurity.com/blog/cloudflare-falls-victim-to-cyberattack-leveraging-credentials-from-okta-breach/

Source link