Las configuraciones incorrectas de nube continúan causando grandes dolores de cabeza a las organizaciones. Ahora, un informe descubre un fallo de administración de identidad y acceso (IAM) que podría haber sido muy costoso. Palo Alto Networks advierte: «Las malas configuraciones del IAM podrían costar millones»
El hallazgo aparece en el Informe de amenazas en la nube del proveedor de seguridad 2H 2020. La divulgación (requiere correo electrónico) se produjo después de que un equipo de inteligencia de amenazas en la nube de la Unidad 42, el brazo de investigación de Palo Alto, fuera contactado por un cliente que solicitaba una prueba. Ésta recaía sobre sus defensas de infraestructura de Amazon Web Services (AWS). El cliente ejecutó «miles» de cargas de trabajo y cientos de buckets S3.
Palo Alto Networks advierte: «Las malas configuraciones del IAM podrían costar millones»
Los investigadores encontraron, en una semana, dos configuraciones erróneas de IAM «críticas». Éstas «afectaban a todas la cuentas de AWS del cliente (…) cualquiera de las cuales podría ser crítica para cualquier organización», como dice el informe.
La primera configuración incorrecta permitió al equipo de investigación acceder a datos confidenciales dentro de los depósitos S3 internos no públicos. Mientras tanto, la segunda consistía en roles IAM con privilegios excesivos asignados a cuentas de usuario que no eran administradores.
Merece la pena señalar que la antigua cuestión de la responsabilidad compartida ha vuelto a surgir. Palo Alto destacó que AWS «hace todo lo posible» para detectar y alertar a los usuarios cuando una política de confianza de IAM está mal configurada. Esto ha sido compartido en varias ocasiones por informes de Check Point entre otros. Mientras tanto, AWS ha lanzado UX adicional para ayudar a garantizar que los depósitos no se desalineen.
Los proveedores casi siempre suelen tener la solución a estos problemas
El informe también señaló cómo el uso de un enfoque de infraestructura como código (IaC), con una configuración vulnerable, podría conducir a «un efecto dominó catastrófico». «La política de confianza mal configurada en la plantilla de IaC de este cliente se replicó en múltiples roles en múltiples cuentas», escribían los investigadores. «Los investigadores de la Unidad 42 encontraron más de 30 puntos de entrada vulnerables en el entorno de nube del cliente que podrían haberse explotado de la misma manera».
El trabajo forense indicó que ningún actor malintencionado había explotado con éxito estas configuraciones incorrectas de IAM y el cliente pudo solucionar correctamente los problemas.
Estamos viendo continuamente cómo el tema de las configuraciones incorrectas se vuelve recurrente. Por ejemplo, el otro día os hablábamos de que este tipo de errores en los sistemas de almacenamiento cloud también siguen siendo un error común. A pesar de todo y como podemos ver en el caso de este informe, todo pasa por poner una solución de la forma más rápida posible. Los proveedores de nube suelen ofrecer esta solución (como también ocurre en este caso), sólo hay que buscarla.