IBM ve un problema universal en el exceso de privilegios en la nube
Un nuevo informe del Gigante Azul dice que los permisos elevados y las identidades de rol en la nube están presentes en casi todos los compromisos exitosos realizados por el equipo de pruebas de penetración X-Force Red de la compañía.
El exceso de privilegios concedidos a las identidades en la nube es un componente clave en el 99% de todas las pruebas de seguridad realizadas por el equipo de pruebas de penetración X-Force Red de IBM, según un informe publicado por el proveedor.
Según el informe, tanto los usuarios humanos como las cuentas de servicio tienen sistemáticamente más derechos y privilegios de acceso de los que generalmente necesitan, lo que hace que explotar una brecha con éxito en un sistema en la nube sea mucho más fácil de lo que sería de otro modo.
Según el informe, "esta configuración permitía a los atacantes que conseguían afianzarse en el entorno pivotar y moverse lateralmente para explotar otros componentes o activos de la nube".
Esto es una mala noticia para el sector de la nube, que también vio un aumento del 200% en el número de cuentas comprometidas que se venden en la web oscura, y un aumento en la puntuación media de la gravedad de las vulnerabilidades encontradas en los sistemas de la nube, según IBM. Esa puntuación de gravedad, que se basa en el CVSS, aumentó a una media de 18 en el último informe, frente a los 15 de hace diez años.
"Es lógico que, a medida que aumente el número de aplicaciones disponibles en la nube, se revelen más vulnerabilidades relacionadas con ella, lo que aumenta la superficie de ataque general de los entornos en la nube", señala el informe.
Los fallos de seguridad en la nube conducen a la ‘criptominería’ y al ‘ransomware’
El número total de vulnerabilidades basadas en la nube también aumentó sustancialmente en el transcurso del año pasado, añadieron los autores del informe, con un crecimiento del 28%. El malware más común desplegado como resultado de sistemas en la nube comprometidos fue el criptominado (también llamado cryptojacking) y el ransomware, aunque también se vieron ataques de exfiltración de datos y extorsión.
La criptominería es una actividad especialmente atractiva para los hackers maliciosos que tienen como objetivo la nube, según IBM, por varias razones, como la posibilidad de transferir los costes de la minería a la víctima, la percepción de falta de vigilancia sobre los servicios en la nube en comparación con los sistemas locales y la presencia de vulnerabilidades conocidas en la computación en la nube.
Junto con las desconfiguraciones, que siguen siendo una vía de entrada habitual para los hackers malintencionados, dos importantes vulnerabilidades resultaron ser un objetivo muy atractivo para los malos actores que persiguen los sistemas en la nube.
La vulnerabilidad Log4j -un fallo explotable en una biblioteca de Apache ampliamente utilizada por los proveedores de servicios en la nube- fue objeto de un fuerte ataque por parte de grupos de ransomware como NightSky y Conti, así como de varias familias de malware de minería de criptomonedas basado en Linux, como Monero, B1txor20, Mirai y otros.
"Nuestra experiencia [de notificación de incidentes] refleja que los actores de las amenazas tienen una experiencia significativa y creciente en la nube", dice el informe. "Con pocas excepciones, estos actores de amenazas operan sin estar limitados por las preferencias de alojamiento en la nube de un cliente, las normas legales o cualquier límite geográfico físico".
