Conecta con nosotros

Noticias

RSA advierte: los proveedores cloud instalan middleware sin avisar a sus clientes

Publicado el

La conferencia RSA: del middleware de los proveedores cloud a más peticiones de colaboración pública

En la conferencia de seguridad RSA, celebrada hace solo unos días en San Francisco, salieron a la luz no pocos descubrimientos relacionados con la ciberseguridad, según The Register. Tanto en local como en la nube. Entre ellos está la confirmación, por parte de los investigadores de Wiz, de que prácticamente todos los proveedores cloud están instalando, sin conocimiento o consentimiento de sus clientes, middleware y herramientas similares. Es decir, software que se instala y despliega entre la capa de aplicaciones del proveedor y las capas de sistema operativo y red.

Estos investigadores, que no hace mucho anunciaron el descubrimiento de cuatro problemas de seguridad graves en el agente de Infraestructura de gestión abierta de Azure (OMI), a las que llamaron OMIGOD, fueron los encargados de confirmar que prácticamente todos los proveedores de servicios en la nube tienen instalados este tipo de agentes sin que quienes contratan sus servicios, en muchos casos, lo sepan.

Tanto Nir Ohfeld como Shir Tamaru, los investigadores, señalaron en el evento de la RSA que los agentes que se instalan en este caso son de tipo middleware, y se encargan de hacer de puente entre las máquinas virtuales de los clientes y el resto de servicios gestionados del proveedor. Estos agentes, eso sí, son necesarios para poder desplegar servicios avanzados de máquinas virtuales. Entre ellas, la recopilación de logs, la actualización automática y la sincronización de la configuración. Lo malo es que también añaden superficies potenciales de ataque, ya que los clientes no saben que existen, y no se pueden defender de ataques a ellos por eso.

En el caso de OMIGOD, los problemas de seguridad incluían un bug con una puntuación de 9,8 sobre 10 en el índice CVSS (Common Vulnerability Score System, es decir, Sistema de puntuación de vulnerabilidades comunes), lo que implica que un atacante podría acceder al root y ejecutar código en él de manera remota. Microsoft parcheó las vulnerabilidades, pero la mayoría se tuvieron que aplicar a mano.

Desde Wiz han publicado una página en GitHub con una lista de una docena de agentes instalados en secreto, como OMI, en Azure, AWS y Google Cloud. Y ya han dado pistas de que es probable que no sean todos.

Por otro lado, también en la conferencia RSA, Trend Micro ha presentado los resultados de una encuesta que indican que la mayoría de empresas y organizaciones no comprenden cuáles son sus superficies de ataque. En total, el 73% de los 6.297 responsables de TI y tomadores de decisiones tecnológicas de las empresas encuestados aseguraron estar preocupados por el aumento de los ataques a la superficie de vulnerabilidad, y solo un 51% podrían demilitarla por completo. Alrededor de un tercio aseguró que su infraestructura de seguridad era complega y estaba en evolución constante, mientras que un 43% admitió que su superficie de ataque estaba poniéndose «fuera de control con rapidez».

Los entornos cloud son considerados como los más opacos, y dado que acabamos de ver cómo la mayoría de proveedores instalan en ellos middleware en secreto, es sencillo legar a esa conclusión. Por otro lado, el estudio también ofrece varias razones por las que la visibilidad no ha mejorado. Por ejemplo, por las cadenas de suministro opacas, por los servicios TI en la sombre, los empleados remotos y los cambios técnicos constantes en los productos de los proveedores, entre otras causas.

Petición de más colaboración público-privada

En otro orden de cosas, en la conferencia de la RSA también se hizo púbica una lista de grupos activistas del sector online y empresas privadas del sector que piden «más colaboración público-privada para mejorar la preparación de la nación en cuanto a ciberseguridad«. Según los peticionarios, que creen que la Administración Biden ha dado pasos para reforzar la cooperación público-privada, no ha hecho lo bastante en este sentido.

Además, los firmantes de la petición señalan que «buscarán de manera activa implicar a los socios del gobierno de Estados Unidos en ideas e iniciativas para reforzar la ciber resiliencia nacional«. Para ello han hecho cinco propuestas. La primera es reforzar el alcance de la Joint Cyber Defense Collaborative (JCDC), que los solicitantes aseguran que conseguirán trabajando con ellos y con la Agencia de seguridad de infraestructura y seguridad.

La segunda es el desarrollo de un grupo de comprensión de amenazas mediante el soporte de «herramientas, tecnología, incentivos, procesos de negocio y marcos legales» necesarias para hacerlo. En cuanto a la tercera, es la mejora de los planes de contingencia, mediante la identificación de las cinco más importantes que pueden constituir un riesgo para la seguridad nacional, y desarrollar planes de respuesta proactivos.

La cuarta pasa por mejorar los marcos legales identificando leyes y regulaciones que impiden avanzar. Por último, la quinta es la mejora el trabajo en equipo creando oportunidades para intercambios a largo plazo entre el gobierno y profesionales de ciberseguridad del ámbito privado. Y los firmantes parecen estar de suerte, porque les han mencionado líderes de CISA y la NSA; así como Chris Inglish, del Ciber Directorio Nacional, durante su ponencia en la conferencia de la RSA; en relación con la colaboración entre ambos ámbitos en seguridad online.

Nuevo sistema de autenticación multifactor y multicapa

Mientras tanto, el proveedor de firma única Xage ha anunciado en la conferencia de la RSA un nuevo sistema de autenticación multicapa y multifactor (MFA), que además es distribuido y que es capaz de resistir la acción de bombas de prompt como la que permitió al grupo Laspsu$ acceder a Okta a principios de este año.

El bombardeo de MFA no es una técnica de hacking tan sofisticada, ya que tiene como fin vencer la resistencia de un site intentando conectarse a él repetidamente a través de una de las cuentas que tengan activada la autenticación de varios factores. Mientras la víctima recibe un bombardeo de peticiones de verificación, el atacante esperan tranquilamente a que este de un toque por error en el botón u opción que acepta la conexión. Solo con un error tan simple, el atacante tendrá vía libre para hacer lo que quiera con la cuenta a la que la víctima tiene acceso.

La solución de Xage hace que, para todos estos intentos y fines, se ponga en marcha un sistema híbrido entre MFA y segmentación de red. Así, «los usuarios reconfirman su identidad, y entonces se les garantiza el acceso a cada capa de privilegio, permitiéndoles una verificación de usuario independiente a nivel de operación completa, sitio web o incluso de un único activo«.

Lo malo del sistema es que aunque contar con un tipo distinto de MFA en cada control, lo que ofrece este nuevo sistema, añade una capa de seguridad adicional, no se sabe si los usuarios van a adaptarse bien al empeoramiento que provocaría en la experiencia de usuario al tener que realizan una manera distinta de MFA para cada petición de acceso granular.

Redactora de tecnología con más de 15 años de experiencia, salté del papel a la Red y ya no me muevo de ella. Inquieta y curiosa por naturaleza, siempre estoy al día de lo que pasa en el sector.

Lo más leído