ClickCease Cloudflare violado: Credenciales utilizadas para acceso malicioso

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Cloudflare violado: Credenciales utilizadas para acceso malicioso

Wajahat Raja

16 de febrero de 2024 - Equipo de expertos TuxCare

En una reciente revelación, Cloudflare, un prominente gigante de las redes, reveló una brecha de seguridad ocurrida a finales de noviembre, en la que actores de amenazas explotan contraseñas robadas para obtener acceso no autorizado a información y sistemas sensibles. Altos ejecutivos de la compañía compartieron que un presunto atacante nacional obtuvo acceso no autorizado a los sistemas de Cloudflare utilizando credenciales robadas de Okta, un importante proveedor de inicio de sesión único. En violación de Cloudflare detectado el Día de Acción de Gracias dio lugar a una investigación y respuesta inmediatas por parte del equipo de seguridad de Cloudflare.

 

Robo de credenciales en el incidente de Cloudflare


El
incidente de seguridad de Cloudflare se desencadenó cuando Cloudflare identificó una amenaza en su servidor Atlassian autoalojado. El equipo de seguridad inició rápidamente una investigación, cortando el acceso del atacante. Posteriormente, el 26 de noviembre, el equipo forense de CrowdStrike fue contratado para llevar a cabo un análisis independiente.

La investigación reveló que el autor de la amenaza realizó un reconocimiento del 14 al 17 de noviembre, accediendo a sistemas internos como la wiki interna de la empresa y la base de datos de errores. El hacker regresó el 20 y 21 de noviembreinfiltrándose con éxito en el sistema de gestión de código fuente de Cloudflare.

Se descubrió que las credenciales robadas utilizadas en este ataque se obtuvieron durante una brecha ampliamente publicitada en octubre en Okta.


Cloudflare Breached - Naturaleza del ataque


El consejero delegado de Cloudflare, Matthew Prince, destacó la gravedad del incidente a pesar de su limitado impacto operativo. El atacante, identificado como un agente de un Estado-nación, pretendía obtener un acceso persistente y generalizado a la red global de Cloudflare. La empresa tomó medidas inmediatas para impedir que el autor de la amenaza siguiera accediendo a otros sistemas.


Respuesta a la brecha de Cloudflare


Para garantizar la seguridad de sus sistemas, Cloudflare inició un esfuerzo exhaustivo para eliminar cualquier acceso persistente que pudieran haber tenido los hackers. La investigación, en colaboración con CrowdStrike, reveló que el atacante buscaba información sobre la arquitectura, la seguridad y la gestión de la red global de Cloudflare.

Como parte de su respuesta, Cloudflare rotó aproximadamente 5.000 credenciales de producción y segmentó físicamente los sistemas de prueba y de ensayo. Estas medidas se aplicaron para frustrar cualquier intento del atacante de aprovechar la información técnica sobre las operaciones de la red. Además, la empresa sustituyó el hardware en un centro de datos de São Paulo, donde el hacker intentó acceso malicioso a los servicios de Cloudflare.


Reflexión sobre la participación de Okta


El sitio
credenciales robadas ciberataque reavivó las críticas contra Okta por su gestión de la brecha de octubre, donde acceso no autorizado a Cloudflare asociados a 134 clientes de Okta. Cloudflare, junto con otras empresas de seguridad, expresó su descontento por la tardía respuesta de Okta al incidente. Cloudflare hizo hincapié en la importancia de la divulgación oportuna y responsable tras la identificación de las infracciones.

Cloudflare ya había sufrido una brecha en marzo de 2022, atribuida a un ataque a los sistemas de Okta. Sin embargo, en ese caso, las sólidas medidas de seguridad de Cloudflare, incluido el uso de claves duras para la autenticación multifactor, impidieron que el autor de la amenaza accediera a sus sistemas o datos.


Lecciones de los ataques a Cloudflare


Cloudflare reconoció la sofisticada naturaleza de la
violación de la seguridad de los datos de Cloudflarehaciendo hincapié en la necesidad de una vigilancia continua contra los actores del Estado-nación. Las medidas proactivas de la empresa, como la rotación de credenciales y la sustitución de hardware, demuestran su compromiso de reforzar su postura de seguridad. La seguridad web tras la brecha de Cloudflare requiere una mayor vigilancia y medidas proactivas para mitigar los riesgos potenciales.

A la luz del incidente, Cloudflare reiteró la importancia de una actuación rápida y responsable tras una infracción. La postura de la empresa subraya la necesidad de colaboración entre la industria y el gobierno para abordar eficazmente los retos de la ciberseguridad.


Conclusión


El
brecha de ciberseguridad en Cloudflare nos recuerda la evolución del panorama de las amenazas y la importancia de adoptar medidas de ciberseguridad sólidas. A medida que las empresas siguen enfrentándose a ataques sofisticados, la colaboración, la transparencia y las medidas de seguridad proactivas son esenciales. medidas de seguridad proactivas son cruciales para salvaguardar la información sensible y mantener la continuidad del negocio. La experiencia de Cloudflare subraya la necesidad de que las organizaciones se mantengan alerta y mejoren continuamente sus estrategias de ciberseguridad para adelantarse a las amenazas emergentes.

Las fuentes de este artículo incluyen artículos en The Hacker News y Bleeping Computer.

Resumen
Cloudflare violado: Credenciales utilizadas para acceso malicioso
Nombre del artículo
Cloudflare violado: Credenciales utilizadas para acceso malicioso
Descripción
Cloudflare sufre una brecha de seguridad por el robo de credenciales. Más información sobre el incidente, la respuesta y las medidas de ciberseguridad.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín