El 99% de las identidades en la nube son demasiado permisivas, y abren la puerta a los atacantes

Casi todos los usuarios, roles, servicios y recursos de la nube conceden permisos excesivos, lo que deja a las organizaciones vulnerables a la expansión de los ataques en caso de compromiso, según ha revelado un nuevo informe de la Unidad 42 de Palo Alto. La investigación del proveedor de seguridad descubrió que la gestión de identidades y accesos (IAM) mal configurada está abriendo la puerta a los actores maliciosos que tienen como objetivo la infraestructura de la nube y las credenciales en los ataques.

Los resultados indican que cuando se trata de IAM en la nube, las organizaciones están luchando para poner en práctica una buena gobernanza. El informe también identifica cinco grupos de ataque que se han detectado dirigidos a entornos en la nube y revela sus métodos de ataque.

El 99% de las identificaciones en la nube son demasiado permisivas

En "Identity and Access Management: La primera línea de defensa", los investigadores de Unit 42 analizaron más de 680.000 identidades en 18.000 cuentas en la nube y en más de 200 organizaciones diferentes para comprender sus configuraciones y patrones de uso. Revelaron que el 99% de los usuarios, roles, servicios y recursos de la nube concedían "permisos excesivos" que no se utilizaban durante 60 días. Los adversarios que comprometen estas identidades pueden aprovechar estos permisos para moverse lateral o verticalmente y ampliar el radio de ataque, según el informe.

Los datos de Unit 42 mostraron que había dos veces más permisos no utilizados o excesivos dentro de las políticas de seguridad de contenidos (CSP) incorporadas, en comparación con las políticas creadas por los clientes. "Eliminar estos permisos puede reducir significativamente el riesgo al que se expone cada recurso de la nube y minimizar la superficie de ataque de todo el entorno de la nube". Sin embargo, la seguridad en la nube se ve obstaculizada por una gestión de credenciales y de IAM mal implementada, según el informe.

Unit 42 afirma que las malas configuraciones están detrás del 65% de los incidentes de seguridad en la nube detectados, mientras que el 53% de las cuentas en la nube analizadas permitían el uso de contraseñas débiles y el 44% la reutilización de contraseñas.  Además, casi dos tercios (62%) de las organizaciones tenían recursos en la nube expuestos públicamente. "Los errores de configuración dentro de las políticas de identidad de usuario, rol o grupo dentro de una plataforma en la nube pueden aumentar significativamente el panorama de amenazas de la arquitectura en la nube de una organización", y estos son vectores que los adversarios buscan explotar constantemente, explican desde Unit 42. "Todos los actores de amenazas en la nube que identificamos intentaron cosechar credenciales al comprometer un servidor, contenedor o portátil. Una credencial filtrada con excesivos permisos podría dar a los atacantes la llave del reino".

Unit 42 identifica cinco grupos de ataques dirigidos a la infraestructura de la nube

La Unidad 42 detectó e identificó a cinco actores de amenazas que aprovechaban técnicas únicas de escalada y recopilación de credenciales para atacar directamente las plataformas de servicios en la nube. De ellos, tres realizaron operaciones específicas de contenedores, incluyendo el descubrimiento de permisos y el descubrimiento de recursos de contenedores, dos realizaron operaciones de escape de contenedores, y los cinco recogieron credenciales de servicios en la nube o de plataformas de contenedores como parte de sus procedimientos operativos. Estos son:

• TeamTNT: Considerado el actor de amenazas en la nube más sofisticado en términos de técnicas de enumeración de identidades en la nube, las operaciones de este grupo incluyen el movimiento lateral dentro de los clústeres Kubernetes, el establecimiento de redes de bots IRC y el secuestro de recursos de carga de trabajo en la nube comprometidos para minar la criptomoneda Monero.
• WatchDog: Aunque es técnicamente hábil, este grupo está dispuesto a sacrificar la habilidad por el acceso fácil, según ha asegurado la Unidad 42. Utiliza scripts Go personalizados, así como scripts de cryptojacking reutilizados de otros grupos (incluyendo TeamTNT) y es un grupo de amenaza oportunista que tiene como objetivo instancias y aplicaciones en la nube expuestas.
• Kinsing: Otro actor de amenazas oportunistas en la nube con un fuerte potencial para la recolección de credenciales en la nube, este grupo tiene como objetivo las APIs expuestas de Docker Daemon utilizando procesos maliciosos basados en GoLang que se ejecutan en contenedores Ubuntu y ha comenzado a expandir sus operaciones fuera de los contenedores Docker, específicamente apuntando a los archivos de credenciales de contenedores y de la nube, contenidos en las cargas de trabajo de la nube comprometidas.
• Rocke: Rocke, un grupo "veterano" que está aumentando las técnicas de enumeración de puntos finales en la nube, se especializa en operaciones de ransomware y cryptojacking en entornos de nube y es conocido por utilizar la potencia de cálculo de los sistemas comprometidos basados en Linux, normalmente alojados en la infraestructura de la nube.
• 8220: Primo de Rocke, este grupo está adoptando los contenedores en su conjunto de objetivos. Las herramientas que suelen emplear durante sus operaciones son PwnRig o DBUsed, que son variantes personalizadas del software de minería de Monero XMRig. Se cree que el grupo se originó a partir de una bifurcación de GitHub del software del grupo Rocke.

Los errores de configuración de IAM son un punto de entrada común 

Unit 42 aconsejó a las organizaciones que abordaran las vulnerabilidades de IAM para asegurar sus infraestructuras en la nube. "Una IAM correctamente configurada puede bloquear los accesos no deseados, proporcionar visibilidad a las actividades en la nube y reducir el impacto cuando se producen incidentes de seguridad", afirmó. "Sin embargo, mantener la IAM en el estado más seguro es un reto debido a su naturaleza dinámica y a su complejidad. Históricamente, las desconfiguraciones de IAM han sido el punto de entrada y el pivote que los ciberdelincuentes explotan con más frecuencia".

Para ayudar en la defensa de los entornos de la nube contra los actores de la amenaza, Unit 42 ha explicado que las organizaciones deben implementar plataformas de protección de aplicaciones nativas de la nube (CNAPP), centrarse en el endurecimiento de los permisos de IAM y aumentar la automatización de la seguridad.