Recientemente han surgido múltiples reportes sobre serias fallas de seguridad afectando implementaciones en la nube. En esta ocasión, expertos en forense digital de la firma de seguridad Palo Alto Networks reportan una vulnerabilidad crítica del lado del servidor en Jira, un producto de seguimiento de problemas de Atlassian Corp. que, de ser explotada, podría exponer los datos almacenados de los usuarios.
Para ser precisos, se trata de una vulnerabilidad de falsificación de solicitudes del lado del servidor cuya explotación está relacionada con una aplicación web de redirección de solicitudes del atacante a una red interna detrás de un firewall determinado.
Al explotar esta falla un actor de amenazas podría usar una aplicación para acceder a información subyacente en la estructura de la implementación en la nube (registros, credenciales de acceso, configuraciones, etc). A pesar de que la API de metadatos es sólo accesible de forma local, esta falla funciona como una puerta de acceso a este recurso desde Internet pública, además de que los actores de amenaza pueden esquivar el entorno de sandbox al ejecutarla, mencionan los expertos en forense digital.
Empleando herramientas de análisis personalizadas, los expertos de Palo Alto descubrieron que al menos 7 mil implementaciones de Jira se encuentran expuestas vía Internet pública; además, se reporta que cerca del 45% de las implementaciones expuestas son vulnerables a esta falla crítica, mientras que el 56% de los más de 3 mil hosts vulnerables están filtrando metadatos de la infraestructura de la nube.
Entre las implementaciones con mayor índice de filtración de datos por esta vulnerabilidad se encuentran:
- Digital Ocean (93%)
- Google Cloud (80%)
- Alibaba (70%)
- Amazon Web Services (68%)
Acorde a los expertos en forense digital, Microsoft Azure tiene un índice de exposición de datos de 0% puesto que esta implementación bloquea las solicitudes del lado del servidor falsas de la API de metadatos por defecto. Al parecer esta vulnerabilidad es realmente similar a la que fue explotada en el ataque a las redes de Capital One Financial Corporation hace unos meses, incidente que derivó en el robo de más de 100 millones de registros almacenados por la compañía.
Esta variante de ataque es realmente seria, pues permite el reconocimiento de redes internas, la explotación de fallas de canal lateral e incluso la ejecución remota de código. En su reporte, los expertos mencionan que la información confidencial, como credenciales o arquitectura de las redes, podría estar expuesta, comprometiendo a su vez los servicios internos.
Acorde a los especialistas en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) el problema se deriva directamente de la inadecuada desinfección implementada por los desarrolladores; como recomendación de seguridad, los desarrolladores podrían validar de forma más estricta el formato y el patrón de la entrada de los usuarios antes de integrarse a la lógica de la aplicación.
Otras recomendaciones para los administradores de sistemas incluyen la integración de una lista blanca de dominios, el establecimiento de principios de red de confianza cero, uso de firewall para aplicaciones web y la instalación de los parches de seguridad correspondientes.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
