No último dia 23 de novembro, a Cloudflare detectou um agente de ameaça em seus servidores auto-hospedados da Atlassian. Uma vez detectada essa brecha de segurança, a equipe responsável iniciou imediatamente uma investigação, cortou o acesso do agente e, no domingo, 26 de novembro, convocou a equipe forense da CrowdStrike para realizar sua própria análise independente.
Tal análise foi concluída nessa semana, e as informações descobertas foram postas ao público por meio do blog oficial da Cloudflare. De acordo com a descoberta, De 14 a 21 de novembro, a anomalia seguiu fazendo reconhecimentos na wiki interna e no banco de dados de bugs da empresa, além de testar acessos para garantir conectividade na rede.
Finalmente, no dia 22, o invasor estabeleceu acesso persistente ao servidor Atlassian, obteve acesso ao sistema de gerenciamento de código-fonte e tentou, sem sucesso, acessar um servidor de console que tinha acesso ao data center. Todos os acessos e conexões de agentes de ameaças foram encerrados em 24 de novembro e a CrowdStrike confirmou que a última evidência de atividade de ameaças foi nesse mesmo dia.
“Queremos enfatizar que nenhum dado ou sistema de cliente da Cloudflare foi afetado por esse evento. Devido aos nossos controles de acesso, regras de firewall e uso de chaves de segurança rígidas aplicadas por meio de nossas próprias ferramentas de Zero Trust, a capacidade do agente de ameaça de se mover lateralmente foi limitada. Nenhum serviço foi afetado e nenhuma alteração foi feita em nossos sistemas ou configurações de rede global”, confirmou a Cloudflare na postagem.
Mesmo assim, a corporação disse ser esse um incidente de extrema gravidade, considerando o preocupante avanço dele até uma quantidade limitada de código fonte. Por isso, a companhia mobilizou grande parte de seu estafe para se dedicar ao projeto intitulado “Code Red”.
uma vez que um agente de ameaça se aproveitou de credenciais roubadas para obter acesso ao servidor da Atlassian e ter contato com alguma documentação e uma quantidade limitada de código-fonte. O foco era fortalecer, validar e corrigir qualquer controle no ambiente para garantir segurança contra futuras invasões e validar que o agente hostil não poderia obter novo acesso.
“Para garantir que esses sistemas estivessem 100% seguros, os equipamentos do data center do Brasil foram devolvidos aos fabricantes. As equipes forenses deles examinaram todos os sistemas para garantir que nenhum acesso ou persistência fosse obtido. Nada foi encontrado, mas substituímos o hardware mesmo assim”, alertou ainda a nota.
O esforço imediato do “Code Red” terminou em 5 de janeiro, mas o trabalho seguiu em toda a empresa em relação ao gerenciamento de credenciais, fortalecimento de software, gerenciamento de vulnerabilidades, alertas adicionais, entre outros. “Com base em nossa colaboração com colegas do setor e do governo, acreditamos que esse ataque foi realizado por um invasor de Estado-Nação, com o objetivo de obter acesso persistente e generalizado à rede global da Cloudflare”, encerra o posicionamento.
