Cloudflare desbarata ciberataque en su contra mediante sistema MFA

Intento de suplantación de identidad no logró obtener la información necesaria para acceder a los sistemas de la empresa gracias a la MFA segura por hardware.

Cloudflare informa haber frustrado un ciberataque gracias al uso en toda la empresa de llaves hardware compatibles con FIDO2 que utiliza para la autenticación multifactor segura (MFA).

Aunque algunos empleados creyeron en los mensajes de phishing, la empresa dijo que logró detener el ataque utilizando sus productos de seguridad internos, así como las claves de seguridad físicas que sus empleados utilizan para acceder a cada aplicación. «Hemos confirmado que ningún sistema de Cloudflare se ha visto comprometido», señala Cloudflare en su blog.

El 20 de julio, el equipo de seguridad de Cloudfare recibió informes de empleados que recibían «mensajes de texto de aspecto legítimo» que imitaban un enlace a una página de inicio de sesión de Cloudflare Okta. Los intentos fueron enviados tanto a dispositivos personales como de trabajo, y algunos incluso fueron enviados a los familiares de los empleados.

«Todavía no hemos podido determinar cómo el atacante reunió la lista de números de teléfono de los empleados, pero hemos revisado los registros de acceso a nuestros servicios de directorio de empleados y no hemos encontrado ningún signo de concesión», dijo Cloudfare.

La empresa dijo que su sistema de registro seguro, que supervisa cuándo se configuran los dominios para utilizar la marca Cloudflare, no detectó su registro, ya que se configuró menos de 40 minutos antes de que comenzara la campaña de phishing.

La página de phishing estaba diseñada de forma que las credenciales de las víctimas fueran transmitidas al atacante a través del servicio de mensajería Telegram. A continuación, solicitaría un código de contraseña de tipo TOTP.

Esto anularía la mayoría de los sistemas de autenticación de dos factores (2FA), ya que el atacante recibiría las credenciales en tiempo real, las introduciría en la página de inicio de sesión real de la empresa y activaría un código que se enviaría por SMS o un generador de contraseñas.

El empleado introduciría entonces el código TOTP en el sitio de phishing, enviándolo directamente al atacante, que podrá utilizarlo en el sitio auténtico antes de que caduque.

Sin embargo, desafortunadamente para los atacantes, Cloudflare no utiliza códigos TOTP. En su lugar, la empresa proporciona a sus empleados claves de seguridad conformes con FIDO2 que están vinculadas a usuarios individuales. Eso significa que un ataque de phishing en tiempo real como éste no puede recoger la información necesaria para acceder a los sistemas de la empresa.

«Aunque el atacante intentó entrar en nuestros sistemas con las credenciales de nombre de usuario y contraseña comprometidas, no pudo superar el requisito de la clave de seguridad», dijo Cloudflare.

Si los atacantes hubieran superado estos obstáculos, Cloudflare dijo que la página de phishing habría descargado entonces una carga útil de phishing que incluía el software de acceso remoto de AnyDesk que permitiría a los atacantes controlar el dispositivo de las víctimas de forma remota.

La compañía dijo que el ataque no progresó, pero su seguridad de endpoint de todas formas habría frustrado la instalación si lo hubiera hecho.

A pesar de que el ataque fracasó, Cloudflare añadió que realizaría ajustes como restringir el acceso a los sitios que se ejecutan en dominios registrados en las 24 horas anteriores, así como ejecutar nuevos términos clave a través de su tecnología de aislamiento del navegador.



Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022