 |
|
|
Un grupo de investigadores de seguridad, pertenecientes a la empresa Wiz, han sondeado recientemente la infraestructura DBaaS (base de datos como servicio) de IBM Cloud y han encontrado varios problemas de seguridad que les han permitido acceder al servidor interno, utilizado para construir imágenes de bases de datos para los despliegues de los clientes.
Este ataque simulado por Wiz para investigar la seguridad de IBM, combinaba una vulnerabilidad de escalada de privilegios en el servicio IBM Cloud Databases for PostgreSQL con credenciales en archivo de texto dispersas por el entorno y controles de acceso a la red interna demasiado permisivos que permitían el movimiento lateral dentro de la infraestructura.
A principios de este año, los investigadores de Wiz también encontraron y divulgaron vulnerabilidades en las implementaciones de PostgreSQL de Microsoft Azure y Google Cloud Platform (GCP).
El motor de base de datos relacional PostgreSQL de código abierto ha estado en desarrollo durante más de 30 años con un énfasis en la estabilidad, alta disponibilidad y escalabilidad. Sin embargo, esta compleja pieza de software no fue diseñada con un modelo de permisos adecuado para los entornos de nube multi tenencia, donde las instancias de la base de datos necesitan estar aisladas unas de otras y de la infraestructura subyacente.
Aunque todos los problemas ya han sido comunicados en privado al equipo de IBM Cloud y solucionados por éste, no son exclusivos de IBM. Según el equipo de Wiz, el problema de los “secretos dispersos” es común en todos los entornos de nube.
Los flujos de trabajo automatizados de creación y despliegue suelen dejar secretos en varios lugares, como archivos de configuración, el historial de bash de Linux y archivos de diario, que los desarrolladores se olvidan de borrar cuando se completa el despliegue.
Además, algunos desarrolladores suben accidentalmente todos sus archivos de configuración .git y CircleCI a los servidores de producción. Los secretos olvidados que suele encontrar el equipo de Wiz incluyen claves de acceso a la nube, contraseñas, credenciales de CI/CD y tokens de acceso a la API.
Otro problema frecuente que desempeñó un papel crítico en el ataque a IBM Cloud es la falta de controles de acceso estrictos entre los servidores de producción y los sistemas internos de CI/CD. Esto a menudo permite a los atacantes moverse lateralmente y ganar un punto de apoyo más profundo en la infraestructura de una organización.
Por último, los registros de contenedores privados pueden proporcionar una gran cantidad de información a los atacantes que va más allá de las credenciales. Pueden revelar información sobre servidores críticos dentro de la infraestructura o pueden contener código que revele vulnerabilidades adicionales.
Según explicó el equipo de Wiz, las organizaciones deben asegurarse de que sus soluciones de registro de contenedores apliquen los controles de acceso y el alcance adecuados.
|
