Grave brecha en la infraestructura empresarial de OVH

Luis Delgado, junto a Chema Alonso, reconocidos investigadores de seguridad españoles, ofrecieron en el marco de la conferencia de seguridad Defcon, una charla Skytalk (no grabada) en la que revelaron, bajo la política de “full disclosure”, cómo comprometer los servicios que una empresa tuviera alojados en el proveedor francés OVH. La demostración contemplaba que un atacante pudiera eliminar y acceder a todos los datos que alojados (DNI, emails, infraestructura de la empresa, etc.) junto con su backup, secuestrar un dominio o darlo de baja.

Según explican desde Ontinet.com, en cuyo blog ofrecen una dilatada crónica de lo que fue Defcon, apuntan que la gravedad del fallo es crítica porque que afecta a la visibilidad de las empresas en Internet y a todos los datos que se almacenan en este proveedor.

En total, se descubrieron tres vulnerabilidades de 0-day en el análisis de los servicios web de OVH, que permitirían acceder a información de otros usuarios a los que no se debería tener acceso. Un servicio interno que permite sobrepasar las medidas de seguridad establecidas por defecto dejaría al atacante realizar diversos ataques a la infraestructura de los servidores y a los datos que allí se alojan.

Todo esto implica que “a pesar de que nos esforcemos en asegurar nuestros datos o servicios, si el proveedor no cumple con unas medidas de seguridad adecuadas, estamos comprometidos y un atacante puede desconectarnos de Internet”, señalaba Delgado a Ontinet.com, que destacan la importancia de destacar la gravedad de dicho fallo de seguridad por la cantidad de usuarios afectados y por lo que supone para una empresa perder su presencia online.

OVH será informado de las vulnerabilidades detectadas en su infraestructura empresarial, tras lo cual Luis Delgado publicará más datos en un conocido blog de seguridad informática español para que otros compañeros puedan analizarlo.