Especialistas en ciberseguridad de Palo Alto Networks mencionan que los parches lanzados por Amazon Web Services (AWS) para abordar las vulnerabilidades en Log4j podrían ser evadidos para escalar privilegios en el sistema o evadir contenedores. Identificadas a finales de 2021, las fallas Log4Shell permitirían a los actores de amenazas ejecutar código remoto y tomar control de implementaciones afectadas.
Para evitar la explotación de estas fallas, los equipos de seguridad de AWS lanzaron diversos parches activos, cada uno adecuado para un entorno diferente, incluidos servidores, Kubernetes, Elastic Container Service (ECS) y Fargate. El primer parche estaba incluido en un paquete RPM o Debian, un Daemonset de parche activo para clústeres de Kubernetes y otro incluido como un conjunto de ganchos OCI y destinado a hosts Bottlerocket.
No obstante, los expertos de Palo Alto Networks descubrieron que, después de la instalación del parche, cualquier contenedor en el servidor o clúster podría explotarlo para tomar control del host subyacente. Además, cualquier proceso no privilegio podrían explotar los parches activos para escalar privilegios y ejecutar código como usuario root.
Acorde al reporte: “Después de instalar cualquiera de los parches, los nuevos contenedores pueden explotar el parche para escapar y comprometer su host subyacente. En los hosts que instalaron el servicio Hot Patch o el Hot Patch Daemonset, los contenedores existentes también pueden escapar”.
Para abordar los procesos de JavaScript sobre la marcha, las soluciones invocan ciertos contenedores binarios; sin el proceso de contenedorización adecuado, las limitaciones que normalmente se aplican a los procesos de contenedores no se aplicarían también a los nuevos procesos.
Un contenedor malicioso podría haber incluido un binario llamado ‘java’ para engañar a la solución instalada, llevando a la invocación con privilegios elevados. El proceso ‘java’ malicioso podría abusar de sus privilegios elevados para escapar del contenedor y apoderarse del host subyacente.
En otras palabras, estas correcciones tratan los procesos sin privilegios de manera similar, lo que significa que un proceso malicioso sin privilegios podría crear un binario llamado “java” y abusar del servicio de parches en caliente para elevar sus privilegios: “Estos errores pueden ser explotados independientemente de la configuración del contenedor, así que incluso los entornos que permiten técnicas de aislamiento se ven afectados”, agrega el reporte.
AWS ya ha corregido los problemas con estos parches, por lo que se invita a los clientes a instalar las correcciones lo antes posible para mitigar el riesgo de explotación.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
