Descubierta una nueva vulnerabilidad en Azure
Un equipo de investigadores de Palo Alto Networks ha podido romper el sistema utilizado por Azure para los contenedores que almacenan programas para los usuarios.
Microsoft ha vuelto a notificar a sus clientes una nueva brecha en Azure por la cual los ciberdelincuentes podrían haber accedido a sus datos, según Reuters. Tras la vulnerabilidad descubierta hace una semana en la base de datos Cosmos DB del servicio en la nube de la tecnológica, Palo Alto Networks ha descubierto este nuevo fallo, aunque, por el momento, no hay evidencias de que se haya robado información para utilizarla de manera maliciosa.
Desde Palo Alto han declarado a la agencia de noticias que su equipo de investigadores había podido romper el sistema utilizado por Azure para los contenedores que almacenan programas para los usuarios. Éstos utilizaban un código que no se había parcheado para cerrar una brecha antes conocida.
Como resultado, el equipo de investigación pudo obtener el control de un clúster que incluía contenedores de otros usuarios. “Este es el primer ataque a un proveedor en la nube que usa el escape de contenedores para controlar otras cuentas”, asegura el experto en seguridad, Ian Coldwater.
En ambas vulnerabilidades, el reconocimiento de Microsoft se ha centrado en aquellos clientes que podrían haber sido afectados de alguna manera por los propios investigadores, en lugar de notificar que todos estaban en riesgo. “Mantener el código actualizado es realmente importante”, asegura Coldwater. “Muchas de las cosas que hicieron posible este ataque ya no lo serían con el software moderno”. Por otra parte, la investigación ha subrayado la responsabilidad compartida entre los proveedores de nube y los clientes en cuanto a la seguridad.
