Las aplicaciones de capacitación deliberadamente vulnerables se utilizan ampliamente para educación sobre seguridad, pruebas internas y demostraciones de productos. Herramientas como OWASP Juice Shop, DVWA, Hackazon y bWAPP están diseñadas para ser inseguras de forma predeterminada, por lo que es útil aprender cómo funcionan las técnicas de ataque comunes en un entorno controlado.
El problema no son las aplicaciones en sí, sino cómo se implementan y mantienen a menudo en entornos de nube del mundo real.
Pentera Labs investigó cómo se utilizan las aplicaciones de capacitación y demostración en la infraestructura de la nube e identificó patrones recurrentes. Esto significó que las aplicaciones destinadas a ser utilizadas en laboratorios aislados se encontraban frecuentemente expuestas a la Internet pública, ejecutándose dentro de cuentas activas en la nube y conectadas a identidades de la nube con un acceso más amplio de lo necesario.
Patrones de desarrollo observados en la investigación.
La investigación de Pentera Labs encontró que estas aplicaciones a menudo se implementan con configuraciones predeterminadas, aislamiento mínimo y roles de nube demasiado permisivos. Nuestra investigación encontró que muchos de estos entornos de capacitación expuestos están directamente conectados a identidades de nube activas y roles privilegiados, lo que permite a los atacantes ir mucho más allá de la aplicación vulnerable y potencialmente penetrar la infraestructura de nube más amplia de un cliente.
En estos escenarios, una única aplicación de formación pública sirve como punto de partida. Una vez que los atacantes tienen acceso a identidades de nube conectadas y roles privilegiados, ya no están limitados por la aplicación o el host original. En cambio, pueden interactuar con otros recursos dentro del mismo entorno de nube, lo que potencialmente aumenta significativamente el alcance y el impacto potencial de una infracción.
Como parte del estudio, Pentera Labs examinó casi 2000 instancias de aplicaciones de capacitación públicas en vivo, casi el 60 % de las cuales estaban alojadas en una infraestructura administrada por el cliente que se ejecutaba en AWS, Azure o GCP.
Evidencia de abuso activo
Los entornos de entrenamiento expuestos identificados durante la investigación no estaban simplemente mal configurados. Pentera Labs ha observado pruebas claras de que los atacantes están explotando activamente esta exposición.
En un amplio conjunto de datos de aplicaciones de capacitación disponibles públicamente, encontramos que aproximadamente el 20 % de las instancias contenían artefactos implementados por actores maliciosos, incluidas actividades de minería de criptomonedas, shells web y mecanismos de persistencia. Estos artefactos eran indicativos de compromisos previos y explotación continua de los sistemas expuestos.
La presencia de herramientas activas de criptominería y persistencia indica que las aplicaciones públicas de capacitación no sólo son detectables, sino que ya están siendo explotadas a escala.
Alcance de influencia
La exposición y los entornos explotados identificados durante el estudio no se limitaron a sistemas de prueba pequeños o aislados. Pentera Labs ha observado este patrón de implementación en entornos de nube asociados con empresas Fortune 500 y los principales proveedores de ciberseguridad como Palo Alto, F5 y Cloudflare.
Aunque las circunstancias individuales diferían, el patrón básico se mantuvo constante. Esto significa que una aplicación de capacitación o demostración se implementó sin suficiente aislamiento, permaneció accesible públicamente y estaba conectada a una identidad de nube privilegiada.
¿Por qué es esto importante?
Los entornos de capacitación y demostración a menudo se tratan como activos temporales o de bajo riesgo. Como resultado, a menudo quedan excluidos de los procesos estándar de monitoreo de seguridad, revisiones de acceso y gestión del ciclo de vida. Con el tiempo, estos entornos pueden permanecer expuestos mucho después de que haya pasado su propósito original.
Según el estudio, la explotación no requiere vulnerabilidades de día cero ni técnicas de ataque sofisticadas. Las credenciales predeterminadas, las debilidades conocidas y la exposición pública fueron suficientes para convertir la aplicación de capacitación en un punto de entrada para el acceso generalizado a la nube.
Etiquetar un entorno como «entrenamiento» o «pruebas» no reduce ese riesgo. Cuando estos sistemas están expuestos a Internet y conectados a identidades privilegiadas en la nube, se convierten en parte de la superficie de ataque eficaz de una organización.
Lea el blog de investigación completo de Pentera Labs y únase a nosotros en un seminario web en vivo el 12 de febrero para obtener más información sobre la metodología, el proceso de descubrimiento y las aplicaciones del mundo real observadas durante este estudio.
Este artículo fue escrito por Noam Yaffe, investigador senior de seguridad de Pentera Labs. Si tiene preguntas o debates, comuníquese con labs@penera.io.
Source link
