in

Los investigadores piden un enfoque «CVE» para la nube …



Una nueva investigación sugiere que aislar las cuentas de los clientes en la nube puede no ser un hecho, y los investigadores detrás de los resultados piden acción para la seguridad en la nube.

BLACK HAT USA 2021 – Las Vegas – Un par de investigadores que descubrieron fallas de seguridad y debilidades en los servicios en la nube durante el último año descubrieron nuevos problemas aquí esta semana que, según dicen, pueden afectar el aislamiento entre Amazon Web Services (AWS) de diferentes clientes. Cuentas en la nube.

Estas vulnerabilidades del servicio en la nube entre cuentas también son probablemente más comunes que AWS, dijeron los investigadores Ami Luttwak y Shir Tamari de la startup de seguridad en la nube Wiz.io sobre sus hallazgos.

Las fallas entre cuentas apuntan a una realidad aterradora para los clientes de la nube: según el estudio, sus instancias en la nube no están necesariamente aisladas de las de los otros clientes del proveedor. «Hemos demostrado que es posible manipular servicios en AWS para acceder a otros servicios», dijo Tamari en una entrevista. Esto podría permitir a un atacante leer datos en el depósito de almacenamiento S3 de otro cliente en la nube o enviar y almacenar datos desde su cuenta en la nube a la de otro cliente con fines nefastos, demostraron los investigadores.

Pero las tres vulnerabilidades que encontraron los investigadores (vulnerabilidades en AWS Config, CloudTrail y AWS Serverless Config que AWS solucionó a principios de este año) simplemente reflejan un problema mayor con la protección de los servicios en la nube. Luttwak y Tamari dicen que sus últimos hallazgos subrayan la necesidad de un repositorio similar a CVE donde los proveedores e investigadores de la nube puedan compartir información sobre vulnerabilidades, y planean seguir una iniciativa de la industria para hacer precisamente eso.

“Creemos que las vulnerabilidades de la nube son un problema de la industria. ¿Cómo nos aseguramos de que todos conozcan ‘esta’ vulnerabilidad? [various] Tipos de vulnerabilidades «en los servicios en la nube», dijo Luttwak a los asistentes durante la presentación de la pareja esta semana sobre los errores de cuentas cruzadas que encontraron en AWS a fines del año pasado.

«Se trata de nosotros como industria y de la necesidad de compartir esta información», dijo Luttwak, quien se puso en contacto con Cloud Security Alliance (CSA) con el concepto propuesto. La industria necesita una base de datos que enumere las vulnerabilidades de la nube, «un sistema ‘CVE’ para la nube», dijo.

Esto permitiría una captura formal de las vulnerabilidades de la nube e incluiría sus calificaciones de gravedad, así como el estado de sus correcciones o parches. «Necesitamos poder identificar vulnerabilidades y tener buenos números de seguimiento para que los clientes y proveedores puedan rastrear estos problemas y obtener un nivel de gravedad para abordar esas vulnerabilidades», dijo Tamari en una entrevista.

El momento «ajá» de Luttwak y Tamaris que llevó a su llamado a la acción para un sistema de seguimiento de vulnerabilidades centralizado para la nube se produjo cuando descubrieron que AWS cinco meses después de que AWS corrigiera los errores de cuentas cruzadas que tenían en la nube, los proveedores de servicios informaron que alrededor de 90 El% de los depósitos de AWS Serverless Repository aún no se configuraron correctamente. Por lo tanto, los clientes de AWS aparentemente no usaron la nueva configuración de Condición de alcance en el repositorio sin servidor que los clientes de AWS conocían por correo electrónico y el Panel de salud personal de AWS.

«La mayoría todavía lo usa configurado [incorrectly] y con acceso completo «a sus cubos de almacenamiento S3», explicó Luttwak.

Sin embargo, AWS ve los resultados de los investigadores de manera diferente. Un portavoz de AWS dijo que los problemas que informaron los investigadores no eran vulnerabilidades, sino más bien opciones de configuración que algunos clientes usan y otros prefieren no usar.

Más vulns en el horizonte
Tamari señaló que la investigación de la seguridad en la nube es todavía una disciplina relativamente nueva y todavía hay muchos problemas desconocidos por descubrir. «Hay tantas funciones nuevas [for cloud services], y es muy difícil hacer un seguimiento de todos los modelos y actualizaciones «, dijo, y es fácil para una empresa configurar mal los servicios en la nube.

«La idea [is] que hay tantos servicios en la nube propensos a las vulnerabilidades de conexión cruzada, queremos que la comunidad ayude a encontrarlas «, dijo. La esperanza es que esos resultados se transmitan a la comunidad de seguridad y puedan ayudar a crear conciencia entre las organizaciones que introducen y configuran servicios en la nube.

Kelly Jackson Higgins es la editora en jefe de Dark Reading. Es una periodista veterana y galardonada en tecnología y negocios con más de dos décadas de experiencia en reportajes y edición para una variedad de publicaciones que incluyen Network Computing, Secure Enterprise … Ver biografía completa

Literatura recomendada:

Más información



What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Errores de implementación HTTP / 2 que causan sitios web …

FragAttacks Foil 2 décadas de seguridad inalámbrica