Krypton Solid

La última tecnología en raciones de 5 minutos

CyberArk advierte sobre ‘administradores en la sombra’ en entornos de nube

Los sistemas de gestión de identidad y acceso han mejorado la seguridad de los servicios en la nube, pero los investigadores de CyberArk demostraron …

cómo los actores de amenazas pueden usar esos mismos sistemas para mantener una presencia persistente en las redes empresariales.

En una sesión en la RSA Conference 2018 el jueves, CyberArk demostró cómo los actores malintencionados o las amenazas internas pueden crear «administradores en la sombra» dentro de entornos de nube como Amazon Web Services simplemente cambiando un par de líneas de una política de administración de identidad y acceso (IAM).

Lavi Lazarovitz, líder del equipo de investigación cibernética de CyberArk Labs, con sede en Newton, Mass., Dijo que el equipo comenzó a investigar a los administradores de sombras en la nube hace unos meses y vio cómo las estructuras de permisos de la nube pueden ocultar cuentas privilegiadas únicas que a menudo se pierden en la mezcla de cuentas privilegiadas estándar.

«Observamos cuentas específicas que tenían permisos específicos para hacer cosas específicas, como que un ingeniero de DevOps tuviera permiso para ejecutar una determinada instancia en la nube», dijo Lazarovitz a SearchSecurity. «Observamos cómo esas cuentas únicas y conjuntos de permisos podrían eventualmente permitir que el usuario o un actor malintencionado escalen los privilegios, según la estructura de permisos, y tomen el control de toda la red».

Utilizando AWS como ejemplo, Asaf Hecht, investigador de seguridad de CyberArk, explicó durante la sesión cómo la cuenta de un ingeniero de DevOps que puede no tener permiso para eliminar instancias EC2 aún podría usarse para eliminar todas las instancias de la organización objetivo. Si un atacante comprometió las credenciales de un ingeniero, dijo, los permisos son limitados e impiden que el usuario acceda a una lista completa de usuarios de AWS para la organización.

Sin embargo, el atacante aún puede crear una nueva instancia EC2. Al acceder a los perfiles de instancia de AWS y buscar una cuenta privilegiada como «AdminRole», el atacante puede adjuntar la cuenta AdminRole a la nueva instancia, leer sus metadatos y recuperar las credenciales. Esas credenciales, que incluyen la clave de acceso de la cuenta y el token de sesión, se pueden cargar en la interfaz de línea de comandos de AWS, donde el atacante puede usar esos privilegios elevados para eliminar todas las instancias EC2 de la organización.

Ese ejemplo fue uno de los 10 escenarios que Lazarovitz y Hecht detallaron en su presentación; otros ejemplos incluyeron el abuso de la llamada a la API «addusertogroup» y la edición de las políticas de permisos de AWS reales. Explicaron que una vez que se obtienen privilegios elevados, los atacantes pueden ocultar las cuentas de administrador ocultas de los equipos de seguridad empresarial adjuntando permisos a grupos legítimos y negando el acceso de lectura a las cuentas.

Lazarovitz dijo que hay muchos otros escenarios en los que los actores de amenazas pueden usar los sistemas IAM en la nube para elevar los privilegios y crear administradores en la sombra, pero enfatizó que esto no es culpa de AWS u otros proveedores de la nube.

«Creo que esto está totalmente fuera del alcance de los proveedores de la nube», dijo a SearchSecurity. «Proporcionan una flexibilidad muy amplia; permiten miles y miles de permisos específicos, y esa flexibilidad tiene este inconveniente, ya que puede resultar difícil de administrar para las organizaciones».

Hecht estuvo de acuerdo y dijo que poder otorgar permisos específicos y granulares para cada llamada de API individual brinda beneficios de seguridad que superan el riesgo general presentado por los sistemas IAM en la nube.

Lucha contra los administradores de la sombra

CyberArk ofreció a la audiencia algunos consejos sobre cómo detectar y detener administradores en la sombra en entornos de nube, comenzando por escanear entornos de nube en busca de cuentas privilegiadas con permisos confidenciales. Con ese fin, la compañía lanzó una herramienta gratuita de código abierto llamada SkyArk durante la conferencia.

SkyArk presenta dos modelos, AWStealth y AWSTrace, que están diseñados para descubrir cuentas de administrador ocultas que se han creado y monitorear cambios en permisos sensibles, respectivamente. Ambas herramientas, que actualmente están disponibles en GitHub, escanean entidades y registros de AWS utilizando acceso de solo lectura.

Lazarovitz también recomendó a la audiencia que elimine todas las cuentas privilegiadas innecesarias, independientemente de quién las haya creado, y proteja las cuentas legítimas de administrador de la nube con autenticación multifactor y otras características. «AWS y otras plataformas en la nube permiten que las organizaciones también agreguen condiciones a las políticas de permisos que restringen el uso de permisos confidenciales a direcciones IP, horarios y recursos específicos», dijo a SearchSecurity.

Afortunadamente, CyberArk no ha visto muchos administradores en la sombra en entornos de nube. Lazarovitz dijo que ha habido algunos incidentes, como la violación de OneLogin, donde los actores de amenazas obtuvieron un conjunto de claves de AWS de la compañía, las usaron para acceder a una API de AWS con un host intermedio y luego crearon varias instancias en el entorno de OneLogin para realizar el reconocimiento. – OneLogin dijo que detectó la actividad varias horas después de que comenzara el ataque y apagó las claves e instancias afectadas en cuestión de minutos.

Pero Lazarovitz advirtió que los administradores en la sombra podrían ser explotados tanto por los ciberdelincuentes como por los grupos estatales. «Creemos que los administradores en la sombra pueden ser relevantes tanto para los ataques oportunistas como la minería de criptomonedas como para las APT [advanced persistent threats] y ataques dirigidos «, dijo.» Estas cuentas son fáciles de encontrar y crear, por lo que no necesita la experiencia de un grupo de estado-nación. Por otro lado, los administradores en la sombra obviamente proporcionan una parte ‘en la sombra’ donde los atacantes del estado-nación pueden persistir dentro de la red y permanecer ocultos «.

Deja un comentario

También te puede interesar...

Definición de auditoría no calificada

¿Qué es una auditoría no calificada? Una auditoría sin salvedades refleja los estados financieros de la empresa que son transparentes y de acuerdo con los principios de contabilidad generalmente aceptados (PCGA). Se emite una opinión

2 formas más inteligentes de estructurar Sass

2 formas más inteligentes de estructurar Sass Dependiendo del tamaño del proyecto en el que esté trabajando, puede estructurar su código Sass de dos maneras: una simple para proyectos más pequeños y otra más compleja

Optus entra en el mercado de la seguridad móvil

Optus se dirige a las pequeñas y medianas empresas (PYME) que están preocupadas por el robo de datos móviles y el malware, y se asoció con F-Secure para lanzar OfficeApps Mobile Security. Mediante el portal

Definición de falsificar

¿Qué es un Fakeout? Fakeout es un término que se utiliza en el análisis técnico para referirse a una situación en la que un comerciante entra en una posición en previsión de una futura señal

Recursos e información de SAP Leonardo

SAP Leonardo Noticias 20 de junio de 2019 20 Jun’19 SAP.iO les da a las startups una ventaja con recursos e inversión Goodr y Ruum son parte de SAP.iO, una incubadora de startups que proporciona

Ver si estás usando Hangouts

Lo has estado usando con bastante frecuencia últimamente. conversaciones, el servicio de mensajería instantánea y videollamadas desarrollado por Google. Te sientes muy cómodo con este sistema de comunicación, sin embargo, tienes algunas dudas sobre su

Definición del precio de reoferta

¿Qué es un precio de reoferta? Un precio de reventa es el precio al que el sindicato de una emisión de deuda revende los bonos o valores de la oferta pública inicial a inversores públicos

El peor tipo de cambio

Viajar al extranjero es una experiencia divertida y cautivadora en la que puedes descubrir historia, nuevas culturas, gastronomía exótica y aprender sobre el mundo. Sin embargo, cuando viaja, generalmente no puede usar el dólar estadounidense.