El 23 de noviembre de 2023, Cloudflare detectó y detuvo un ataque dirigido a su centro de datos ubicado en São Paulo.
La empresa activó de inmediato a su equipo de seguridad para investigar y bloquear el acceso del agente de amenaza. Posteriormente, se contrató a CrowdStrike, una empresa de ciberseguridad, para llevar a cabo un análisis independiente del incidente.
Después de la conclusión de la investigación, Cloudflare aclaró que ningún dato o sistema de sus clientes se vio afectado por el ataque.
Gracias a sus sólidos controles de acceso, reglas de firewall y uso de claves de seguridad, la capacidad del agente de amenaza para moverse dentro de la red fue severamente limitada.
Ningún servicio se vio afectado y no se realizaron cambios en los sistemas o configuraciones de la red global.
¿Cómo ocurrió el ataque?
Durante el período del 14 al 17 de noviembre, el agente de amenaza realizó actividades de reconocimiento y accedió a la wiki interna y la base de datos de errores de Cloudflare, ambas alojadas en el servidor Atlassian.
El 20 y 21 de noviembre, se identificaron accesos adicionales, indicando posibles intentos de asegurar conectividad continua.
El 22 de noviembre, el agente de amenaza logró establecer un acceso persistente al servidor Atlassian, pero no tuvo éxito al intentar acceder a un servidor de consola asociado al nuevo centro de datos de Cloudflare en São Paulo.
Para obtener acceso, el agente de amenaza utilizó un token de acceso y tres credenciales de cuenta de servicio que se habían comprometido después de un incidente de seguridad anterior.
Todas las actividades del agente de amenaza se cerraron el 24 de noviembre, y CrowdStrike confirmó que la última evidencia de actividad ocurrió a las 10:44 de ese día.
Aunque el impacto operativo del incidente se consideró mínimo, Cloudflare trató el caso con seriedad debido al acceso no autorizado del agente de amenaza al servidor Atlassian y a la obtención de documentación y una cantidad limitada de código fuente.
Basándose en colaboraciones con expertos de la industria y del gobierno, se cree que este ataque fue perpetrado por un agente patrocinado por un estado-nación, con el objetivo de obtener acceso amplio y persistente a la red global de Cloudflare.
Después de eliminar al agente de amenaza de su entorno, Cloudflare movilizó a un equipo multidisciplinario para investigar la intrusión y garantizar que el acceso del agente de amenaza se bloqueara completamente.
Posteriormente, la empresa lanzó el proyecto «Código Rojo», que buscaba fortalecer, validar y remediar todos los controles de seguridad en su entorno para prevenir futuras intrusiones.
Además, se llevaron a cabo investigaciones minuciosas en todos los sistemas, cuentas y registros para verificar si el agente de amenaza había obtenido acceso persistente y comprender completamente qué sistemas se vieron afectados.
Aunque el proyecto «Código Rojo» se completó el 5 de enero, Cloudflare continúa trabajando en varias iniciativas para mejorar su seguridad. Esto incluye la gestión de credenciales, el fortalecimiento de software, la gestión de vulnerabilidades y la implementación de alertas adicionales.
