Hay que proteger las nubes públicas de vulnerabilidades comunes

Hay que proteger las nubes públicas de vulnerabilidades comunes

Muchas empresas trabajan masivamente en diversas áreas apoyadas en “cloud”, es decir, utilizando recursos de nubes públicas y privadas locales, conocidos como nube híbrida. Aunque sus ventajas  son sobradamente conocidas (sustanciales ahorros), conviene recordar que en términos de ciberseguridad, las empresas suelen centrarse preferentemente en la protección de las áreas virtuales o físicas, descuidando los aspectos de la infraestructura que se encuentra en las nubes públicas.

Por las razones que sea, muchas de estas empresas están convencidas que a los proveedores de servicios en la nube les corresponde encargarse de la protección; otras piensan que las nubes públicas han sido diseñadas para ser seguras, motivo por el que no requieren protección adicional. Sin embargo ambas suposiciones son incorrectas: al igual que el resto de tu infraestructura, las nubes públicas también están expuestas a la explotación de sus vulnerabilidades de software, a los ataques tipo “poisoning” del repositorio de actualización, a la explotación de las conexiones de red y al compromiso de la información de su cuenta.

Contrariamente a la creencia generalizada, las nubes públicas no se han diseñado para ser extremadamente seguras, motivo por el que necesitan protección adicional, recuerda un reciente informe de Kaspersky Lab, subrayando que, si por defecto, el RDP (Remote Desktop Services)  permite al usuario tomar el control de un ordenador remoto o virtual a través de la conexión a una red, que se encuentra en instancias como Amazon, sin embargo, no está diseñado para ser compatible con la autentificación de dos factores. El RDP se ha  convertido en el objetivo de diferentes herramientas de ataque por fuerza bruta. Algunos de ellos se centran en varios de los nombres de usuario por defecto más frecuentes (como “Administrador”) e intentan adivinarlo miles de veces. Otros intentan dar con el nombre de inicio de sesión único del administrador mediante los apellidos y las contraseñas más frecuentes.

En este ámbito, los algoritmos de los ataques por fuerza bruta pueden limitar o aleatorizar el número de intentos, con pausas entre conjuntos de ataques, con el fin de evadir la detección automática. Otro método es el ataque por fuerza bruta de las contraseñas de las credenciales de inicio de sesión del usuario de SSM, que a menudo se encuentra programado en las instancias de AWS.

Las nubes públicas también están expuestas a la explotación de sus vulnerabilidades de software, a los ataques tipo “poisoning” del repositorio de actualización, a la explotación de las conexiones de red y al compromiso de la información de su cuenta.

Los servicios SSH (protocolo de comunicaciones seguras entre dos sistemas usando una arquitectura cliente/servidor) se enfrentan todo el tiempo a intentos similares de ataque por fuerza bruta y, pese a que ofrecen mayor protección que RDP (por ejemplo, la autenticación de doble factor), un servicio configurado a la ligera puede proporcionar acceso inmediato a un ciberdelincuente muy persistente. Los ataques por fuerza bruta contra SSH y RDP constituyeron hasta el 12 % del total de ataques que reciben los honeypots de IdC de Kaspersky durante la primera mitad del 2019.

Las nubes públicas pueden (y de hecho, lo hacen) exponer al usuario a las vulnerabilidades. Kaspersky cita un par de ejemplos de cómo una vulnerabilidad en el software de terceros le ofrece a un atacante la oportunidad de ejecutar un código en la propia instancia.

El 3 de junio del 2019 se descubrió una vulnerabilidad en Exim, un famoso servidor de correo electrónico que normalmente se implementaba en las nubes públicas. La vulnerabilidad permitía la ejecución de código remoto. Si el servidor se ejecutaba con privilegios root, como suele ser, el código malicioso que se introducía en el servidor se ejecutaría con privilegios root. Otra vulnerabilidad de Exim, identificada en el 2019, también permitía la ejecución de código remoto con privilegios root.

Otro ejemplo es el hackeo en el 2016 del sitio web oficial de Linux Mint, que provocó la alteración de las distribuciones para incluir malware con una puerta trasera IRC con funcionalidad DDOS. El malware también pudo usarse para introducir cargas nocivas en las máquinas infectadas. Otros casos referidos involucraban a los módulos node.js maliciosos, contenedores infectados en el Docker Hub, entre otros.

Los ciberdelincuentes pueden ser muy ingeniosos a la hora de encontrar puntos de acceso a la infraestructura, especialmente cuando hay muchas infraestructuras, todas parecidas y con problemas similares, y creen que son seguras por defecto. Para reducir y gestionar el riesgo de modo más efectivo, es necesario proteger los sistemas operativos en sus instancias de nube y máquinas virtuales. Obviamente no basta con una protección básica de antivirus y antimalware. Las mejores prácticas de la industria indican que todos los sistemas operativos de una infraestructura requieren una protección integral y de múltiples capas; una recomendación que también hacen los proveedores de servicios de nube pública.

Todo este relativamente nuevo panorama hizo posible la solución de seguridad Kaspersky Hybrid Cloud Security, que protege varios tipos de cargas de trabajo en distintas plataformas, mediante el uso de múltiples capas de tecnologías de seguridad: el reforzamiento del sistema, la prevención de exploits, la supervisión de la integridad de archivos, un bloqueador de ataques de red antimalware estático y basado en comportamiento, etc.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.