La vulnerabilidad de la cadena de suministro de IBM Cloud muestra una nueva clase de amenaza



Una vulnerabilidad en las bases de datos de IBM Cloud para PostgreSQL podría haber permitido a los atacantes lanzar un ataque a la cadena de suministro en los clientes de la nube violando los servicios internos de IBM Cloud e interrumpiendo el proceso de creación de imágenes internas del sistema alojado.

Los investigadores de seguridad de Wiz descubrieron la falla, a la que llamaron «Llavero del infierno». Incluía una cadena de tres secretos expuestos junto con un acceso de purple demasiado permisivo a servidores de compilación internos, revelaron los investigadores en una publicación de weblog publicada el 1 de diciembre.

Si bien ahora está parcheada, la vulnerabilidad es significativa porque representa un vector de ataque raro en la cadena de suministro que afecta la infraestructura de un proveedor de servicios en la nube (CSP), dice el CTO de Wiz, Ami Luttwak, a Dim Reading through. El descubrimiento también descubre una clase de vulnerabilidades de PostgreSQL que afectan a la mayoría de los proveedores de la nube, incluidos Microsoft Azure y Google Cloud System.

«Este es un vector de ataque de cadena de suministro único en su tipo, que muestra cómo los atacantes podrían aprovechar los errores en el proceso de construcción para hacerse cargo de todo el entorno de la nube», dice.

Específicamente, los investigadores descubrieron «un gran riesgo causado por el saneamiento inadecuado de los secretos de compilación de las imágenes del contenedor, lo que permite que un atacante obtenga acceso de escritura al depósito central de imágenes del contenedor», dice Luttwak. Esto le habría permitido al actor ejecutar código malicioso en los entornos de los clientes y modificar los datos almacenados en la foundation de datos.

«Las modificaciones al motor PostgreSQL introdujeron efectivamente nuevas vulnerabilidades al servicio», escribieron los investigadores en su puesto. «Estas vulnerabilidades podrían haber sido explotadas por un actor malicioso como parte de una extensa cadena de explotación que culminó en un ataque a la cadena de suministro en la plataforma».

Como se mencionó, la capacidad de usar PostgreSQL para violar IBM Cloud no es exclusiva del proveedor de servicios, dijeron los investigadores. Wiz ya ha encontrado vulnerabilidades similares en otros entornos de CSP, que planean revelar pronto y que resaltan un problema más amplio de configuraciones incorrectas de la nube que representan una amenaza para la cadena de suministro de los clientes empresariales.

La existencia de la falla también destaca cómo la gestión inadecuada de los secretos, o los tokens de autenticación de larga duración para las API en la nube u otros sistemas empresariales, puede imponer un alto riesgo de intrusión no deseada por parte de los atacantes en una organización que utiliza un proveedor de la nube, dice Luttwak.

«Encontrar y utilizar secretos expuestos es el método número uno para el movimiento lateral en entornos de nubes», dice.

Por ahora, los investigadores dijeron que trabajaron con IBM para solucionar el problema en IBM Cloud y que no se requiere ninguna acción de mitigación del cliente.

Descubriendo la cadena

Los investigadores estaban realizando una auditoría típica de PostgreSQL como servicio de IBM Cloud para averiguar si podían aumentar los privilegios para convertirse en un «superusuario», lo que les permitiría ejecutar código arbitrario en la máquina virtual subyacente y continuar desafiando los límites de seguridad interna. desde allí.

Según su experiencia, dijeron que la capacidad de llevar a cabo un ataque a la cadena de suministro en un CSP radica en dos factores clave: el enlace prohibido y el llavero.

«El enlace prohibido representa el acceso a la red específicamente, es el enlace entre un entorno de producción y su entorno de construcción», escribieron los investigadores. «El llavero, por otro lado, simboliza la recopilación de uno o más secretos dispersos que el atacante encuentra en todo el entorno objetivo».

Por sí solo, cualquiera de los escenarios es «antihigiénico», pero no críticamente peligroso. Sin embargo, «forman un compuesto deadly cuando se combinan», dijeron los investigadores.

Hell’s Keychain tenía tres secretos específicos: un token de cuenta de servicio de Kubernetes, una contraseña de registro de contenedor privado y credenciales de servidor de integración y entrega continuas (CI/CD).

La combinación de esta cadena con el llamado enlace prohibido entre la instancia private de PostgreSQL de Wiz y el entorno de construcción de las bases de datos de IBM Cloud permitió a los investigadores ingresar a los servidores de construcción internos de IBM Cloud y manipular sus artefactos, dijeron los investigadores.

Implicaciones para la seguridad en la nube

El escenario presentado en Hell’s Keychain representa un problema más amplio dentro de la comunidad de seguridad en la nube que exige atención y solución, dijeron los investigadores. A saber: credenciales de texto sin formato dispersas que se encuentran en entornos de nube que imponen un gran riesgo en una organización, lo que perjudica la integridad del servicio y el aislamiento de los inquilinos, dijeron.

Por esta razón, el escaneo secreto en todas las etapas de la tubería es essential, incluso en CI/CD, repositorio de código, registros de contenedores y dentro de la nube, dice Luttwak.

«Además, el bloqueo de credenciales privilegiadas para el registro de contenedores es critical, ya que estas credenciales a menudo se pasan por alto, pero en realidad son las llaves del reino», agrega.

Los clientes de CSP también deben considerar la verificación de firma de imágenes a través de controladores de admisión para garantizar que este tipo de ataques se eviten por completo, dice Luttwak.

Hell’s Keychain también destaca una mala configuración común en el uso de la popular API de Kubernetes para la gestión de contenedores dentro de la nube: el acceso a los pods, «que puede llevar a una exposición sin restricciones del registro de contenedores», dice.

Otra mejor práctica que recomiendan los investigadores es que cualquier organización (CSP o de otro tipo) que implemente un entorno de nube puede tomar es imponer controles de red estrictos entre el entorno orientado a Online y la purple interna de la organización en el entorno de producción, para que los atacantes no puedan obtener una mayor profundidad. afianzarse y mantener la persistencia si logran romperlo.



Enlace a la noticia original