Atores de ameaças foram observados abusando de uma ferramenta de código aberto chamada Cloudflared para manter acesso persistente a sistemas comprometidos e roubar informações sem serem detectados, relata a empresa de segurança cibernética GuidePoint Security.
Cloudflared é um cliente de linha de comando para Cloudflare Tunnel, um daemon de encapsulamento para proxy de tráfego entre a rede Cloudflare e a origem do usuário. A ferramenta cria uma conexão de saída por HTTPS, com as configurações da conexão gerenciáveis por meio do painel Cloudflare Zero Trust.
Por meio da Cloudflared, serviços como SSH, RDP, SMB e outros podem ser acessados diretamente de fora, sem a necessidade de modificar regras de firewall.
Para os agentes de ameaças, isso representa uma grande oportunidade de manter o acesso ao ambiente da vítima sem se expor. No entanto, o invasor precisa acessar o sistema de destino para executar o Cloudflared e estabelecer a conexão.
“Como a execução do Cloudflared requer apenas o token associado ao túnel que eles criaram, o [attacker] pode iniciar esses comandos sem expor nenhuma de suas configurações na máquina vítima antes de uma conexão de túnel bem-sucedida”, GuidePoint explica.
Depois que o túnel é estabelecido, a Cloudflared mantém a configuração no processo em execução, o que permite que o invasor faça alterações em tempo real assim que a conexão for estabelecida. Tudo o que o invasor precisa é que o RDP e o SMB sejam ativados na máquina da vítima.
“Do ponto de vista da máquina vítima, as configurações são puxadas no início da conexão e sempre que houver uma alteração feita na configuração do Cloudflare Tunnel. O túnel é atualizado assim que a alteração da configuração é feita no Cloudflare Dashboard”, observa o GuidePoint.
Isso permite que os invasores habilitem a funcionalidade necessária apenas quando desejam executar operações na máquina da vítima e, em seguida, desabilitem-na para impedir a detecção.
Dado que o Cloudflared é uma ferramenta legítima com suporte nos principais sistemas operacionais e que estabelece conexões de saída com a infraestrutura do Cloudflare, a maioria das defesas de rede permitirá o tráfego.
Ele também permite que os invasores mantenham o acesso à rede da vítima sem expor sua infraestrutura, exceto pelo token atribuído ao seu túnel.
Para usar o Cloudflared com sucesso, o invasor precisa criar um túnel para gerar o token necessário, precisa acessar o sistema da vítima para executar a ferramenta e precisa “conectar-se ao túnel Cloudflared como um cliente para acessar a máquina da vítima”, explica o GuidePoint .
A empresa de segurança cibernética também aponta que os invasores podem usar um recurso de configuração de túnel chamado Private Networks para obter acesso à rede local como se estivessem “fisicamente colocados na máquina da vítima que hospeda o túnel” e interagir com qualquer dispositivo na rede.
O principal problema com o uso malicioso do Cloudflared, diz o GuidePoint, é que a ferramenta não armazena logs e a atividade só pode ser visualizada em tempo real, se um administrador tiver acesso ao processo em um prompt de comando ou terminal.
Se o comando usado para estabelecer um túnel for observado, as equipes de segurança podem executá-lo novamente para identificar as configurações de nome de host público existentes, mas isso expõe temporariamente o host que executa o comando aos invasores, que podem tomar medidas para se proteger.
No entanto, como a Cloudflared faz consultas específicas, os defensores da rede podem procurá-las para identificar o uso inesperado ou não autorizado dessa ferramenta.
“As organizações que usam os serviços Cloudflare legitimamente podem limitar seus serviços a data centers específicos e gerar detecções para tráfego como túneis Cloudflared que direcionam para qualquer lugar, exceto seus data centers especificados. Esse método pode ajudar na detecção de túneis não autorizados”, observa o GuidePoint.