Investigadores piden un enfoque &#39CVE&#39 para la nube …



Una nueva investigación sugiere que el aislamiento entre las cuentas de los clientes en la nube puede no ser un hecho, y los investigadores detrás de los hallazgos emiten un llamado a la acción para la seguridad en la nube.

BLACK HAT Usa 2021 – Las Vegas – Un par de investigadores que han estado eliminando fallas de seguridad y debilidades en los servicios en la nube durante el año pasado revelaron aquí esta semana nuevos problemas que, según dicen, rompen el aislamiento entre los servicios web de Amazon (AWS) de diferentes clientes. cuentas en la nube.

Es possible que estas vulnerabilidades de servicios en la nube entre cuentas también estén más extendidas que AWS, dijeron los investigadores Ami Luttwak y Shir Tamari de la startup de seguridad en la nube Wiz.io sobre sus hallazgos.

Las fallas entre cuentas sugieren una realidad escalofriante para los clientes de la nube: que sus instancias en la nube no están necesariamente aisladas de las de los otros clientes del proveedor, según la investigación. «Demostramos que es posible manipular servicios en AWS para acceder a otros servicios», dijo Tamari en una entrevista. Eso podría permitir a un atacante leer datos en el depósito de almacenamiento S3 de otro cliente en la nube, o enviar y almacenar datos desde su cuenta en la nube a la de otro cliente con fines nefastos, demostraron los investigadores.

Pero las tres fallas de seguridad que encontraron los investigadores (vulnerabilidades en AWS Config, CloudTrail y AWS Serverless Config que AWS solucionó a principios de este año) simplemente reflejan un problema mayor con la protección de los servicios en la nube. Luttwak y Tamari dicen que sus últimos hallazgos subrayan la necesidad de un repositorio de tipo CVE donde los proveedores e investigadores de la nube puedan compartir información sobre vulnerabilidades, y planean seguir una iniciativa de la industria que haga precisamente eso.

«Creemos que las vulnerabilidades de la nube son un problema de la industria. ¿Cómo nos aseguramos de que todos conozcan &#39esta&#39 vulnerabilidad? Todos los días, encontramos estos (varios) tipos de vulnerabilidades» en los servicios en la nube, dijo Luttwak a los asistentes durante la presentación de la pareja. esta semana sobre las fallas entre cuentas que encontraron en AWS a fines del año pasado.

«Se trata de nosotros como industria y la necesidad de compartir esa» información, dijo Luttwak, quien se acercó a Cloud Safety Alliance (CSA) con el concepto propuesto. La industria necesita una foundation de datos que enumere las vulnerabilidades de la nube, «un sistema &#39CVE&#39 para la nube», explicó.

Eso proporcionaría una contabilidad official de las vulnerabilidades en la nube e incluiría sus calificaciones de gravedad, así como el estado de sus correcciones o parches. «Necesitamos ser capaces de identificar vulnerabilidades y tener buenos números de seguimiento para que los clientes y proveedores puedan rastrear esos problemas y tener un puntaje de gravedad para corregir esas vulnerabilidades», dijo Tamari en una entrevista.

El momento «aha» de Luttwak y Tamari que llevó a su llamado a la acción para un sistema de seguimiento de vulnerabilidades centralizado para la nube se produjo cuando descubrieron que cinco meses después de que AWS corrigiera las fallas de cuentas cruzadas que informaron a la empresa de servicios en la nube, alrededor del 90% de los depósitos de AWS Serverless Repository todavía estaban configurados incorrectamente. Por lo tanto, los clientes de AWS aparentemente no habían aplicado la nueva configuración de «condición de alcance» en Serverless Repository, sobre la cual AWS había alertado a los clientes por correo electrónico y el Panel de salud particular de AWS.

«La mayoría todavía lo usa configurado (incorrectamente) y con acceso completo» a sus cubos de almacenamiento S3, explicó Luttwak.

Sin embargo, AWS ve los hallazgos de los investigadores de manera diferente. Un portavoz de AWS dijo que los problemas informados por los investigadores no son vulnerabilidades, sino opciones de configuración que algunos clientes usan y otros prefieren no usar.

Más Vulns en el horizonte
Tamari señaló que la investigación de seguridad en la nube sigue siendo una disciplina relativamente nueva y que aún quedan muchos problemas desconocidos por descubrir. «Hay tantas características nuevas (para los servicios en la nube) y es muy difícil rastrear todos los modelos y actualizaciones», dijo, y una organización puede configurar mal fácilmente los servicios en la nube.

«La thought (es) que hay tantos servicios en la nube vulnerables a los vulns de conexión cruzada, queremos que la comunidad ayude a buscarlos», dijo. La esperanza es que compartir esos hallazgos entre la comunidad de seguridad podría ayudar a crear conciencia entre las organizaciones que adoptan y configuran servicios en la nube.

Kelly Jackson Higgins es la editora ejecutiva de Darkish Looking through. Es una periodista veterana y galardonada en tecnología y negocios con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, entre las que se incluyen Community Computing, Protected Enterprise … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic