Los investigadores piden un enfoque «CVE» para la nube …
Una nueva investigación sugiere que aislar las cuentas de los clientes en la nube puede no ser un hecho, y los investigadores detrás de los resultados piden acción para la seguridad en la nube.
BLACK HAT USA 2021 – Las Vegas – Un par de investigadores que descubrieron fallas de seguridad y debilidades en los servicios en la nube durante el último año descubrieron nuevos problemas aquí esta semana que, según dicen, pueden afectar el aislamiento entre Amazon Web Services (AWS) de diferentes clientes. Cuentas en la nube.
Estas vulnerabilidades del servicio en la nube entre cuentas también son probablemente más comunes que AWS, dijeron los investigadores Ami Luttwak y Shir Tamari de la startup de seguridad en la nube Wiz.io sobre sus hallazgos.
Las fallas entre cuentas apuntan a una realidad aterradora para los clientes de la nube: según el estudio, sus instancias en la nube no están necesariamente aisladas de las de los otros clientes del proveedor. «Hemos demostrado que es posible manipular servicios en AWS para acceder a otros servicios», dijo Tamari en una entrevista. Esto podría permitir a un atacante leer datos en el depósito de almacenamiento S3 de otro cliente en la nube o enviar y almacenar datos desde su cuenta en la nube a la de otro cliente con fines nefastos, demostraron los investigadores.
Pero las tres vulnerabilidades que encontraron los investigadores (vulnerabilidades en AWS Config, CloudTrail y AWS Serverless Config que AWS solucionó a principios de este año) simplemente reflejan un problema mayor con la protección de los servicios en la nube. Luttwak y Tamari dicen que sus últimos hallazgos subrayan la necesidad de un repositorio similar a CVE donde los proveedores e investigadores de la nube puedan compartir información sobre vulnerabilidades, y planean seguir una iniciativa de la industria para hacer precisamente eso.
“Creemos que las vulnerabilidades de la nube son un problema de la industria. ¿Cómo nos aseguramos de que todos conozcan ‘esta’ vulnerabilidad? [various] Tipos de vulnerabilidades «en los servicios en la nube», dijo Luttwak a los asistentes durante la presentación de la pareja esta semana sobre los errores de cuentas cruzadas que encontraron en AWS a fines del año pasado.
«Se trata de nosotros como industria y de la necesidad de compartir esta información», dijo Luttwak, quien se puso en contacto con Cloud Security Alliance (CSA) con el concepto propuesto. La industria necesita una base de datos que enumere las vulnerabilidades de la nube, «un sistema ‘CVE’ para la nube», dijo.
Esto permitiría una captura formal de las vulnerabilidades de la nube e incluiría sus calificaciones de gravedad, así como el estado de sus correcciones o parches. «Necesitamos poder identificar vulnerabilidades y tener buenos números de seguimiento para que los clientes y proveedores puedan rastrear estos problemas y obtener un nivel de gravedad para abordar esas vulnerabilidades», dijo Tamari en una entrevista.
El momento «ajá» de Luttwak y Tamaris que llevó a su llamado a la acción para un sistema de seguimiento de vulnerabilidades centralizado para la nube se produjo cuando descubrieron que AWS cinco meses después de que AWS corrigiera los errores de cuentas cruzadas que tenían en la nube, los proveedores de servicios informaron que alrededor de 90 El% de los depósitos de AWS Serverless Repository aún no se configuraron correctamente. Por lo tanto, los clientes de AWS aparentemente no usaron la nueva configuración de Condición de alcance en el repositorio sin servidor que los clientes de AWS conocían por correo electrónico y el Panel de salud personal de AWS.
«La mayoría todavía lo usa configurado [incorrectly] y con acceso completo «a sus cubos de almacenamiento S3», explicó Luttwak.
Sin embargo, AWS ve los resultados de los investigadores de manera diferente. Un portavoz de AWS dijo que los problemas que informaron los investigadores no eran vulnerabilidades, sino más bien opciones de configuración que algunos clientes usan y otros prefieren no usar.
Más vulns en el horizonte Tamari señaló que la investigación de la seguridad en la nube es todavía una disciplina relativamente nueva y todavía hay muchos problemas desconocidos por descubrir. «Hay tantas funciones nuevas [for cloud services], y es muy difícil hacer un seguimiento de todos los modelos y actualizaciones «, dijo, y es fácil para una empresa configurar mal los servicios en la nube.
«La idea [is] que hay tantos servicios en la nube propensos a las vulnerabilidades de conexión cruzada, queremos que la comunidad ayude a encontrarlas «, dijo. La esperanza es que esos resultados se transmitan a la comunidad de seguridad y puedan ayudar a crear conciencia entre las organizaciones que introducen y configuran servicios en la nube.
Kelly Jackson Higgins es la editora en jefe de Dark Reading. Es una periodista veterana y galardonada en tecnología y negocios con más de dos décadas de experiencia en reportajes y edición para una variedad de publicaciones que incluyen Network Computing, Secure Enterprise … Ver biografía completa
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
