Cloudflare ha rivelato di essere stata oggetto di un probabile attacco da parte di una non ben identificata nazione, nel quale i criminali informatici hanno sfruttato credenziali rubate per ottenere accesso non autorizzato al server Atlassian e, in per farla breve, sono riusciti ad accedere a una ampia documentazione e anche al codice sorgente del servizio (sebbene non sia stato preso tutto), rendendolo sostanzialmente (almeno in parte) open source a qualche ignoto.
Probabilmente quando hai tentato di accedere a qualche sito, avrai sicuramente notato, in alcuni casi, il nome di questa azienda, ebbene è importante poiché Cloudflare gestisce moltie infrastrutture che sono dietro a molti dei siti più popolari della rete.
Le affermazioni di Cloudflare a riguardo della breccia sui loro sistemi
L’intrusione, avvenuta tra il 14 e il 24 novembre 2023 e rilevata il 23 novembre, è stata eseguita “con l’obiettivo di ottenere accesso persistente e diffuso alla rete globale di Cloudflare“, ha dichiarato l’azienda di infrastrutture web, descrivendo l’attore come “sophisticato” e operante “in modo ponderato e metodico”.
Come misura precauzionale, l’azienda ha dichiarato di aver spostate oltre 5.000 credenziali di produzione e di avere fisicamente isolato i sistemi di test e staging, eseguito triage forense su 4.893 sistemi, reimpostato e riavviato ogni macchina in tutta la sua rete globale.
L’incidente ha coinvolto un periodo di ricognizione di quattro giorni per accedere ai portali Atlassian Confluence e Jira, dopodiché il non noto attaccante (o attaccanti) ha creato un account utente sulla piattaforma Atlassian ed ha pertanto stabilito un accesso persistente al server Atlassian per ottenere infine l’accesso al sistema di gestione del codice sorgente Bitbucket mediante il framework di simulazione avversaria Sliver.
Quello che si sa di questo attacco dopo la creazione dell’account fasullo è che sono stati visualizzati fino a 120 repository di codice, di cui si stima che 76 siano stati esfiltrati dall’attaccante.
“Il 76% dei repository di codice era quasi interamente legato al funzionamento dei backup, alla configurazione e gestione della rete globale, al funzionamento dell’identità in Cloudflare, all’accesso remoto e al nostro utilizzo di Terraform e Kubernetes“, ha affermato la stessa azienda Cloudflare, aggiungendo che “Un piccolo numero di repository conteneva segreti crittografati che sono stati ruotati immediatamente, anche se erano già fortemente criptati.”
Si pensa che il criminale informatico in questione abbia poi tentato senza successo di “accedere a un server console che aveva accesso al data center che Cloudflare non aveva ancora messo in produzione a São Paulo, in Brasile“.
L’attacco è stato effettuato utilizzando un token di accesso e tre credenziali di account di servizio associate ad Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks e Smartsheet, rubate in seguito all’hack di ottobre 2023 del sistema di gestione dei casi di supporto di Okta; Cloudflare ha riconosciuto di non aver “spostato” queste credenziali, assumendo erroneamente che non fossero in uso.
L’azienda ha anche dichiarato di aver preso delle precise misure per interrompere tutte le connessioni dannose originarie del criminale informatico (o dei criminali informatici) il 24 novembre 2023 ed ha coinvolto anche la società di sicurezza informatica CrowdStrike per eseguire una valutazione indipendente dell’incidente.
“L’unico sistema di produzione a cui l’attore minaccioso poteva accedere utilizzando le credenziali rubate era il nostro ambiente Atlassian. Analizzando le pagine wiki a cui hanno avuto accesso, i problemi del database dei bug e i repository di codice sorgente, sembra che cercassero informazioni sull’architettura, sulla sicurezza e sulla gestione della nostra rete globale“, ha dichiarato Cloudflare.