Tenable descubrió nuevas técnicas de ataque en software de código abierto

El equipo de investigación de seguridad en la nube de la compañía anunció que se encontraron nuevas técnicas de ataque en los DSLs que ponen en riesgo la ciberseguridad de las organizaciones.

Tenable ha revelado que su equipo de investigación de seguridad en la nube ha descubierto nuevas técnicas de ataque en los Lenguajes Específicos de Dominio.

Tenable ha revelado que su equipo de investigación de seguridad en la nube ha descubierto nuevas técnicas de ataque en los Lenguajes Específicos de Dominio (DSLs, por sus siglas en inglés) utilizados en plataformas populares de Policy-as-Code (PaC) e Infrastructure-as-Code (IaC). Estas vulnerabilidades pueden resultar en identidades en la nube comprometidas, movimiento lateral y exfiltración de datos.

Infrastructure-as-Code (IaC) se ha convertido en la columna vertebral de las prácticas modernas de DevOps en la nube, y las herramientas de Policy-as-Code son clave para gobernar implementaciones sensibles y complejas. Los DSL’s suelen considerarse más seguros que los lenguajes de programación estándar debido a sus capacidades limitadas y su diseño endurecido. Sin embargo, estos marcos se asumen con frecuencia como seguros por defecto, dejando una puerta abierta para que los atacantes los exploten.

Aunque los DSLs, como los de Open Policy Agent (OPA) y Terraform de HashiCorp, están diseñados para ser seguros, los hallazgos de Tenable revelan configuraciones incorrectas específicas que los atacantes pueden manipular a través de componentes de terceros. 

“Las nuevas técnicas de ataque resaltan lo compleja que puede llegar a ser la seguridad en la nube. Las organizaciones en América Latina están cada vez más en riesgo, y debemos actuar proactivamente para ayudar a reducir la exposición a amenazas y proteger los entornos críticos en la nube”, expresó Alejandro Dutto, Director de Ingeniería de Seguridad para Tenable en América Latina y Caribe

Escenarios de ataque

Existen diversas opciones en donde se puede producir un ciberataque. Open Policy Agent es un motor de políticas utilizado para casos como la autorización de microservicios y políticas de infraestructura. Estas están escritas en Rego, un DSL declarativo con funciones integradas que pueden usarse de manera maliciosa.

A lo largo de la investigación, Tenable descubrió cómo un atacante que compromete la cadena de suministro de políticas puede insertar políticas maliciosas en Rego, ejecutadas durante las evaluaciones de políticas, logrando objetivos como la filtración de credenciales y/o de datos.

Otra de las posibles situaciones de ataque se da con Terraform. Esta herramienta de IaC supo ser muy adoptada debido a su naturaleza declarativa, agnóstica de problemas, soporte comunitario y por sus componentes reutilizables.

Terraform ha sido una herramienta de IaC muy adoptada debido a su naturaleza declarativa, agnóstica de plataformas, soporte comunitario y componentes reutilizables. Al igual que en el escenario anterior, Tenable descubrió que cuando Terraform Plan está configurado para ejecutarse en un disparador de pull request en las canalizaciones CI/CD, los atacantes pueden lograr la ejecución de código no revisado, abriendo caminos para diversos atacantes.

Recomendaciones

  • Implementar Control de Acceso Basado en Roles (RBAC): aplicar el principio de privilegio mínimo tanto para usuarios locales como para aquellos con acceso a través de API. 
  • Verificar componentes de terceros: se deben usar solamente módulos, proveedores y políticas de fuentes confiables, verificando su integridad antes de la ejecución.
  • Habilitar registros exhaustivos: configurar registros a nivel de aplicación y nube para monitoreo y detección de anomalías.
  • Restringir acceso a redes y datos: el uso del archivo capabilities.json de OPA permite limitar conexiones salientes y evitar comunicaciones no autorizadas con servidores internos.
  • Escanear antes de planificar: incorporar escaneos de seguridad en la canalización CI/CD antes de la etapa terraform plan es una buena manera para prevenir la ejecución de código no revisado o malicioso.

Para conocer más información sobre cómo Tenable Cloud Security puede proteger a los usuarios, se puede visitar el siguiente enlace.

Autor

banner-web