Ocupación de la nube: así pueden utilizar los atacantes los activos eliminados en su contra

Nos encontramos en la era de la computación en la nube, donde recursos como servidores virtuales y espacio de almacenamiento a menudo se aprovisionan con programación mediante scripts de implementación según sea necesario. Si bien ejecutar dichos activos es un proceso casi instantáneo, eliminarlos cuando ya no son necesarios no es tan sencillo. Simplemente eliminar los activos de la nube sin asegurarse de haber borrado todos los registros de su organización que puedan apuntar a ellos, ya sea en la zona DNS de su dominio o en su código base, puede abrir graves agujeros de seguridad que los atacantes pueden aprovechar.

Imagine el siguiente escenario: desea ejecutar una campaña navideña especial para sus clientes y decide crear un micrositio para alojar todos los materiales promocionales, como formularios de registro, etc. Sus desarrolladores se ponen a trabajar, diseñan el sitio y proporcionan un nuevo servidor virtual en AWS (o cualquier servicio de computación en la nube) para alojarlo junto con un depósito de almacenamiento para los datos.

El proveedor de servicios en la nube asignará una dirección IP accesible públicamente a su instancia EC2 desde su grupo de direcciones IP reutilizables y asignará un nombre de host para su depósito de almacenamiento bajo su dominio para que pueda acceder a él a través de la API.

Los usuarios necesitan acceder a su sitio y motor de búsqueda, y los robots necesitan indexarlo, por lo que el siguiente paso es crear un subdominio en su nombre de dominio principal y apuntarlo a la dirección IP para que se pueda acceder al servidor web desde su subdominio. Luego, crea un subdominio para el depósito S3 y un registro DNS CNAME para apuntarlo al nombre de host de AWS del depósito. Supongamos que también tiene una aplicación móvil que envía datos al sitio web de esta campaña, por lo que los nombres de host también figuran en el código de la aplicación. Tiene otras aplicaciones y herramientas internas que deben integrarse con el sitio por motivos como el seguimiento de estadísticas o la copia de seguridad de la base de datos.

Lo que ha creado ahora es una multitud de registros en diferentes ubicaciones que apuntan a lo que son esencialmente recursos temporales de la nube. Si alguna vez elimina esos activos de la nube porque cumplieron su propósito, pero no elimina también los registros que sus desarrolladores e ingenieros de infraestructura crearon para ellos, habrá generado un gran riesgo.

Los atacantes pueden usar sus subdominios para sitios de phishing y entrega de malware

Un ciberdelincuente puede obtener la misma dirección IP de Amazon porque ahora es gratuita y tiene su subdominio apuntando a ella para poder crear un sitio de phishing o de distribución de malware. Puede registrar un depósito S3 con el mismo nombre porque encontró una referencia en el código de su aplicación y ahora esta está enviando datos confidenciales a un depósito de almacenamiento de su propiedad.

Este es el escenario que presentó recientemente el ingeniero de seguridad de Tik Tok Abdullah Al-Sultani, en la conferencia DefCamp en Bucarest (Rumanía). Se refirió al ataque como “ocupación de nubes”. Va más allá de los registros DNS, ya que el tipo y la cantidad de servicios en la nube que reasignan recursos y nombres una vez que se cierra una cuenta es muy amplio. Cuanto más grande es la empresa, mayor es el problema de los registros cloud en la sombra.

Identificar el riesgo de ocupación de la nube es más difícil para las grandes empresas

Al-Sultani se encontró con la ocupación de nubes después de que Tik Tok recibiera informes a través de su programa de recompensas por errores que implicaban que los reporteros se hicieron cargo de los subdominios de la aplicación.

Su equipo rápidamente se dio cuenta de que tratar de encontrar todos los registros obsoletos iba a ser una tarea seria porque la empresa matriz de TikTok, ByteDance, tiene más de 100.000 empleados y equipos de desarrollo e infraestructura en muchos países del mundo. También cuenta con miles de dominios para sus diferentes aplicaciones en diferentes regiones.

Para abordar este problema, el equipo de seguridad de TikTok creó una herramienta interna que recorrió todos los dominios de la empresa, probó automáticamente todos los registros CNAME enviando solicitudes HTTP o DNS; identificó todos los dominios y subdominios que apuntaban a rangos de IP pertenecientes a proveedores de nube como AWS, Azure, Google Cloud y otros proveedores de servicios de terceros; y luego verificó si esos registros de IP todavía eran válidos y estaban asignados a TikTok. Afortunadamente, la empresa ya estaba rastreando las direcciones IP asignadas a sus activos por los proveedores de la nube dentro de una base de datos interna, pero es posible que muchas empresas no realicen este tipo de seguimiento.

Al-Sultani no es el primero en resaltar los peligros de la ocupación de las nubes. El año pasado, un equipo de investigadores de la Universidad Estatal de Pensilvania analizó el riesgo de la reutilización de IP en nubes públicas mediante la implementación de 3 millones de servidores EC2 en la región este de EE. UU. de Amazon que recibieron 1,5 millones de direcciones IP únicas o alrededor del 56% del conjunto disponible para la región. Entre el tráfico que llega a esas direcciones IP, los investigadores encontraron transacciones financieras, datos de ubicación GPS e información de identificación personal.

“Identificamos cuatro clases de servicios en la nube, siete clases de servicios de terceros y DNS como fuentes de configuraciones latentes explotables”, dijeron los investigadores en su artículo de investigación.

Riesgos de ocupación de la nube heredados del software de terceros

El riesgo de problemas de ocupación de la nube puede incluso heredarse de componentes de software de terceros. En junio, investigadores de Checkmarx advirtieron que los atacantes están escaneando paquetes npm en busca de referencias a depósitos S3. Si encuentran un depósito que ya no existe, lo registran. En muchos casos, los desarrolladores de esos paquetes optaron por utilizar un depósito S3 para almacenar archivos binarios precompilados que se descargan y ejecutan durante la instalación del paquete. Por lo tanto, si los atacantes vuelven a registrar los depósitos abandonados, pueden realizar la ejecución remota de código en los sistemas de los usuarios que confían en el paquete npm afectado porque pueden alojar sus propios archivos binarios maliciosos.

En un ejemplo similar, a principios de este año, investigadores de Aqua Security demostraron que los atacantes pueden volver a registrar los repositorios de GitHub que han sido eliminados o renombrados. Si las aplicaciones o la documentación aún apuntan a ellos, pueden usarse para distribuir malware. Los investigadores llamaron a este ataque RepoJacking.

Mitigar el riesgo de ocupación en la nube

La superficie de ataque es muy grande, pero las organizaciones deben comenzar por algún lado y cuanto antes, mejor. El escenario de reutilización de IP y DNS parece ser el más extendido y se puede mitigar de varias maneras: mediante el uso de direcciones IP reservadas de un proveedor de la nube, lo que significa que no se devolverán al grupo compartido hasta que la organización las libere explícitamente; transfiriendo sus propias direcciones IP a la nube, usando direcciones IP privadas (internas) entre servicios cuando los usuarios no necesitan acceder directamente a esos servidores, o usando direcciones IPv6 si las ofrece el proveedor de la nube porque su número es tan grande que Es poco probable que alguna vez se reutilicen.

Las organizaciones también deberían aplicar una política que impida la codificación de direcciones IP dentro de las aplicaciones y, en su lugar, deberían utilizar nombres DNS para todos sus servicios. Deben mantener estos registros periódicamente y eliminar los obsoletos, pero tener todo direccionable a través de DNS proporciona un lugar central de administración en lugar de buscar direcciones IP codificadas.