El 99% de las identidades en la nube son demasiado permisivas
Un nuevo informe destaca cinco grupos de amenazas que atacan la infraestructura de la nube y revela métodos de ataque centrados en las credenciales.
Casi todos los usuarios, roles, servicios y recursos de la nube conceden permisos excesivos, lo que deja a las organizaciones vulnerables a la expansión de los ataques en caso de compromiso, según ha revelado un nuevo informe de Unit 42 de Palo Alto.
La investigación del proveedor de seguridad descubrió que la gestión de identidades y accesos (IAM) mal configurada está abriendo la puerta a actores maliciosos que tienen como objetivo la infraestructura de la nube y las credenciales en los ataques.
Los resultados indican que cuando se trata de IAM en la nube, las organizaciones están luchando para poner en práctica una buena gobernanza. El informe también identifica cinco grupos de ataque que se han detectado dirigidos a entornos en la nube y revela sus métodos de ataque.
El 99% de las identificaciones en la nube son demasiado permisivas
En Identity and Access Management: La primera línea de defensa, los investigadores de Unit 42 analizaron más de 680.000 identidades en 18.000 cuentas en la nube y en más de 200 organizaciones diferentes para comprender sus configuraciones y patrones de uso.
Revelaron que el 99% de los usuarios, roles, servicios y recursos en la nube concedían "permisos excesivos" que se dejaban sin utilizar durante 60 días. Los adversarios que comprometen estas identidades pueden aprovechar estos permisos para moverse lateral o verticalmente y ampliar el radio de ataque, según el informe.
Los datos de Unit 42 mostraron que había dos veces más permisos no utilizados o excesivos dentro de las políticas de seguridad de contenidos (CSP) incorporadas, en comparación con las políticas creadas por los clientes.
"Eliminar estos permisos puede reducir significativamente el riesgo al que se expone cada recurso de la nube y minimizar la superficie de ataque de todo el entorno de la nube". Sin embargo, la seguridad en la nube se ve obstaculizada por una gestión de credenciales y de IAM mal implementada, según el informe.
Unit 42 afirmó que las malas configuraciones están detrás del 65% de los incidentes de seguridad en la nube detectados, mientras que el 53% de las cuentas en la nube analizadas permitía el uso de contraseñas débiles y el 44% la reutilización de contraseñas, según el informe. Además, casi dos tercios (62%) de las organizaciones tenía recursos en la nube expuestos públicamente.
"Los errores de configuración en las políticas de identidad de usuario, rol o grupo dentro de una plataforma en la nube pueden aumentar significativamente el panorama de amenazas de la arquitectura en la nube de una organización", y estos son vectores que los adversarios buscan explotar constantemente, dijo Unit 42.
"Todos los actores de amenazas en la nube que identificamos intentaron cosechar credenciales en la nube al comprometer un servidor, contenedor o portátil. Una credencial filtrada con excesivos permisos podría dar a los atacantes la llave de sus negocios".
Cinco grupos de ataque dirigidos a la infraestructura de la nube
La Unidad 42 detectó e identificó a cinco actores de amenazas que aprovechaban técnicas únicas de escalada y recopilación de credenciales para atacar directamente las plataformas de servicios en la nube.
De ellos, tres realizaron operaciones específicas de contenedores, incluyendo el descubrimiento de permisos y el descubrimiento de recursos de contenedores, dos realizaron operaciones de escape de contenedores, y los cinco recogieron credenciales de servicios en la nube o de plataformas de contenedores como parte de sus procedimientos operativos.
Estos son:
TeamTNT: considerado el actor de amenazas en la nube más sofisticado en términos de técnicas de enumeración de identidades en la nube, las operaciones de este grupo incluyen el movimiento lateral dentro de los clústeres Kubernetes, el establecimiento de redes de bots IRC y el secuestro de recursos de carga de trabajo en la nube comprometidos para minar la criptomoneda Monero.
WatchDog: aunque es técnicamente hábil, este grupo está dispuesto a sacrificar la habilidad por el acceso fácil, dijo la Unidad 42. Utiliza scripts Go personalizados, así como scripts de cryptojacking reutilizados de otros grupos (incluyendo TeamTNT) y es un grupo de amenaza oportunista que apunta a instancias y aplicaciones en la nube expuestas.
Kinsing: otro actor de amenazas oportunistas en la nube con un fuerte potencial para la recolección de credenciales en la nube. Tiene como objetivo las API expuestas de Docker Daemon utilizando procesos maliciosos basados en GoLang que se ejecutan en contenedores Ubuntu y ha comenzado a expandir sus operaciones fuera de los contenedores Docker, con lo que apuntan a los archivos de credenciales de contenedores y de la nube contenidos en las cargas de trabajo de la nube comprometidas.
Ro que está aumentando las técnicas de enumeración de puntos finales en la nube, está especializado en operaciones de ransomware y criptojacking en entornos de nube y es conocido por utilizar la potencia de cálculo de sistemas basados en Linux comprometidos, normalmente alojados en infraestructuras de nube.
8220: Primo de Rocke, este grupo está adoptando los contenedores en su conjunto de objetivos. Las herramientas que suelen emplear durante sus operaciones son PwnRig o DBUsed, que son variantes personalizadas del software de minería de Monero XMRig. Se cree que el grupo se originó a partir de un fork de GitHub del software del grupo Rocke.
