Cloudflare reveló recientemente que su servidor interno Atlassian fue comprometido por un presunto ‘atacante de estado-nación’. Este intruso logró acceder a la wiki Confluence, la base de datos de errores Jira y el sistema de gestión de código fuente Bitbucket de la compañía.
En este artículo, exploraremos los detalles del ataque, las medidas de respuesta de Cloudflare y las implicaciones para la seguridad en línea.
El Ataque
El atacante ingresó al servidor Atlassian autohospedado de Cloudflare el 14 de noviembre, posteriormente obteniendo acceso a los sistemas Confluence y Jira después de una fase de reconocimiento.
Tras regresar el 22 de noviembre, estableció un acceso persistente utilizando ScriptRunner para Jira y trató sin éxito de acceder a un servidor de consola en el centro de datos de São Paulo, Brasil.
Se utilizaron un token de acceso y tres credenciales de cuenta de servicio robadas durante un previo compromiso vinculado a la violación de Okta en octubre de 2023.
Respuesta y Remediación
Cloudflare detectó la actividad maliciosa el 23 de noviembre, cortó el acceso el 24 de noviembre y comenzó la investigación el 26 de noviembre. Se realizaron esfuerzos exhaustivos de remediación, incluida la rotación de más de 5000 credenciales de producción y la segmentación física de sistemas.
Todos los servidores Atlassian y las máquinas afectadas fueron reiniciados. Los intentos de hackeo del centro de datos en São Paulo fallaron, y se tomaron medidas adicionales para garantizar la seguridad.
Implicaciones y Colaboración
Aunque Cloudflare afirma que la violación tuvo un impacto operativo extremadamente limitado, se toma en serio el incidente debido al acceso del atacante a la documentación y un código fuente limitado.
Colaborando con la industria y el gobierno, Cloudflare sugiere que el ataque fue realizado por un ‘atacante de estado-nación’ con el objetivo de obtener acceso persistente y generalizado a la red global de Cloudflare.
Artículos Relacionados
Descubre más desde CIBERED
Suscríbete y recibe las últimas entradas en tu correo electrónico.