Una reciente brecha de seguridad que involucra a Cloudflare y el robo de tokens de autenticación a través de un ataque a Okta subraya una preocupante vulnerabilidad en las infraestructuras digitales de hoy. Este incidente no solo arroja luz sobre la sofisticación de los ataques cibernéticos modernos, sino que también destaca la importancia crítica de robustas medidas de seguridad en la protección de datos sensibles.
Entendiendo el Ataque: Una Mirada Detallada
Cloudflare anunció que su servidor interno de Atlassian fue comprometido por un supuesto "atacante de estado nación". Este atacante logró acceder a la plataforma wiki Confluence, la base de datos de errores Jira y el sistema de gestión de código fuente Bitbucket de la compañía.
El atacante inicialmente obtuvo acceso al servidor Atlassian autohospedado de Cloudflare el 14 de noviembre y luego, tras una fase de reconocimiento, logró ingresar a los sistemas Confluence y Jira de la empresa. El 22 de noviembre, regresaron y establecieron un acceso persistente utilizando ScriptRunner para Jira. Además, intentaron sin éxito acceder a un servidor de consola que estaba conectado al centro de datos en São Paulo, Brasil, el cual aún no había sido puesto en producción por Cloudflare.
Te podrá interesar: Cloudflare: Sus Protecciones DDoS Eludidas Internamente
Para acceder a los sistemas, los atacantes utilizaron un token de acceso y tres credenciales de cuenta de servicio previamente robadas durante un incidente relacionado con la violación de Okta en octubre de 2023. Cloudflare no pudo cambiar estas credenciales, ya que miles de ellas se filtraron durante el incidente de Okta.
La actividad maliciosa fue detectada por Cloudflare el 23 de noviembre, y el acceso del atacante fue bloqueado el 24 de noviembre. Los expertos forenses en ciberseguridad de la empresa comenzaron a investigar el incidente el 26 de noviembre. Durante la resolución del incidente, Cloudflare tomó medidas significativas, incluyendo la rotación de más de 5000 credenciales de producción únicas, la segmentación física de sistemas de prueba y preparación, la realización de una investigación forense en 4893 sistemas, la recreación de imágenes y el reinicio de todos los sistemas en su red global, incluyendo los servidores Atlassian (Jira, Confluence y Bitbucket) y las máquinas a las que el atacante accedió.
Los atacantes también intentaron comprometer el centro de datos de Cloudflare en São Paulo, sin éxito. Todos los equipos de este centro de datos fueron devueltos a los fabricantes para asegurar su integridad. La remediación se completó el 5 de enero, aunque la empresa continúa trabajando en la mejora de su software, así como en la gestión de credenciales y vulnerabilidades.
Es importante destacar que esta violación no afectó los datos o sistemas de los clientes de Cloudflare, ni tampoco sus servicios, sistemas de red global o configuraciones. Según la compañía, se cree que este ataque fue realizado por un actor de estado nación con el objetivo de obtener un acceso persistente y generalizado a la red global de Cloudflare.
En octubre de 2023, Cloudflare también sufrió un incidente relacionado con Okta, pero su Equipo de Respuesta a Incidentes de Seguridad logró contener y minimizar el impacto en los sistemas y datos de la empresa, sin afectar la información o los sistemas de los clientes de Cloudflare. Además, en agosto de 2022, Cloudflare bloqueó un intento de ataque a sus sistemas después de que los atacantes intentaran utilizar credenciales de empleados robadas en un ataque de phishing, pero no tuvieron éxito debido a la falta de acceso a las claves de seguridad compatibles con FIDO2 emitidas por la empresa de las víctimas.
Conoce más sobre: Ataques de Relleno de Credenciales: El Punto Débil
Conclusión
El ataque a Cloudflare mediante el robo de tokens de autenticación de Okta subraya la fragilidad de la seguridad cibernética en un mundo cada vez más interconectado. Este incidente no solo destaca la sofisticación de los ciberdelincuentes modernos, sino que también sirve como un llamado a la acción para las empresas en todas partes para fortalecer sus defensas digitales.
A través de la implementación de prácticas de seguridad robustas y la adopción de un enfoque proactivo hacia la gestión de riesgos cibernéticos, las organizaciones pueden protegerse mejor contra amenazas futuras, asegurando la integridad de sus sistemas y la confianza de sus usuarios. La seguridad cibernética no es solo una responsabilidad tecnológica, sino una prioridad estratégica que requiere atención constante y evolución frente a las amenazas emergentes.