A estas alturas, nadie en el ámbito de la seguridad es ajeno a la vulnerabilidad Log4J JNDI. Causó un notable ruido en la industria y arruinó más de unos cuantos planes de vacaciones. En esencia, Log4J es una vulnerabilidad de inyección que permite a los atacantes explotar sistemas mediante la ejecución remota de código. En el ámbito de cloud pública (concretamente AWS), esto puede manifestarse como un atacante que extrae secretos almacenados en variables de entorno. Además de los secretos almacenados estáticamente, nuestro equipo de Investigación de Seguridad en Vectra destacó recientemente métodos para utilizar la vulnerabilidad de inyección Log4j para extraer credenciales temporales de la mayor superficie de ataque en AWS: la Instancia EC2.
A estas alturas, se pueden encontrar numerosos artículos sobre cómo proteger una organización contra la vulnerabilidad Log4j para limitar el radio de explosión de un compromiso relacionado, desde la instalación de parches hasta la rotación de credenciales. Sin embargo, es importante entender que hay algunos desafíos con sólo confiar en estos medios para la remediación. Por ejemplo:
- No todos los sistemas pueden parchearse rápidamente, lo que deja una ventana de exposición. El despliegue de parches lleva tiempo, y en muchos casos habrá dependencias de vendedores o proveedores de servicios que escapan al control de TI.
- Habrá una próxima vez. El exploit Log4J seguramente no será el último que encontremos. Confiar simplemente en limitar el radio de explosión ofrece a los atacantes demasiado tiempo dentro de los entornos para infiltrarse en activos sensibles y causar estragos.
- Una vez que el atacante está dentro, parchear los puntos de compromiso inicial no ayudará mucho. El atacante puede extraer diferentes credenciales, avanzar por las máquinas, establecer canales de mando y control a través de servidores, contenedores o código sin servidor e impactar negativamente en los activos, servicios y datos de la organización, lo que lleva a la interrupción del negocio y a la pérdida de datos sensibles.
La excesiva dependencia de los parches y de la restauración posterior al ataque ha llevado al SOC a jugar constantemente a ponerse al día con el exploit del día. Lo que se necesita, además de parches, es la capacidad de detectar rápidamente la progresión del atacante una vez dentro, proporcionando una protección resistente sin importar cuál sea el próximo exploit.
Detectar la progresión de los ataques en Cloud es un problema difícil de resolver
El seguimiento del comportamiento de las entidades y la identificación de los cambios realizados en un entorno de cloud es extremadamente difícil de realizar en tiempo real. Es más, puede resultar casi imposible distinguir entre un usuario normal con credenciales y un atacante malicioso que utilice las mismas credenciales comprometidas.
Pero no se preocupe, tenemos buenas noticias:Vectra Detect para AWS lo tiene cubierto.
Detect for AWS utiliza IA basada en seguridad para detectar comportamientos de atacantes en el plano de control de AWS. Por ejemplo, Vectra activará el "Uso sospechoso de credenciales de AWS" cuando se utilicen credenciales de instancias EC2 fuera del espacio IP de AWS. Esto facilita la identificación de credenciales robadas (a partir de la ejecución remota de código mediante Log4J) que se utilizan para acceder a recursos. Dentro del perímetro, Detect supervisa continuamente las cuentas y los servicios en todas las regiones para identificar rápidamente el comportamiento de los atacantes maliciosos en toda la cadena de muerte de cloud (descubrimiento, movimiento lateral y exfiltración). Algunos ejemplos de rutas de ataque que puede seguir un atacante son:
- Acceder a las funciones de AWS Lambda y modificarlas para realizar acciones que beneficien al atacante. Detect identifica y destaca los casos de secuestro de Lambda.
- Varias técnicas de escalada de privilegios incluyendo la creación de nuevos perfiles de usuario para mantener la persistencia. Detect identifica el comportamiento asociado a la concesión de privilegios de administrador y supervisa la creación de nuevos perfiles de usuario.
- Puesta en marcha de recursos de AWS en regiones no monitorizadas y exposición de recursos al público. Detect activaría alertas que mostraran la actividad en regiones no utilizadas anteriormente y llamaría la atención sobre las instancias en las que los recursos están expuestos al mundo exterior.
Desde la modificación de recursos hasta los intentos de escalada de privilegios y exfiltración de almacenes de datos, Detect garantiza una cobertura sin puntos ciegos. Utilizando la IA de seguridad de Vectra, Detect atribuye todas las acciones a una entidad de seguridad, incluso si actúan a través de una cadena de roles asumidos, para determinar si la actividad y, por tanto, la entidad de seguridad, deben considerarse maliciosas. Esto significa que un analista de SOC no tiene que perder tiempo identificando la entidad de seguridad que se ha visto comprometida.
Además, gracias a la función Instant Investigations, Detect proporciona un contexto crítico de las acciones realizadas por la persona identificada en el momento de la actividad sospechosa. Esto incluye, entre otros datos valiosos, los servicios utilizados, el historial de funciones asumidas y las regiones en las que la entidad de seguridad estaba activa. Lo crea o no, esta información que tradicionalmente tardaba horas en averiguarse ahora está disponible con sólo pulsar un botón gracias a Instant Investigations.
A medida que las huellas cloud crecen exponencialmente, los atacantes sólo necesitan una abertura para infiltrarse en los entornos de cloud y crear puertas traseras para establecer la persistencia. Log4J no es la primera, y sin duda no será la última, en la amplia gama de vulnerabilidades que los atacantes explotan para comprometer las huellas en cloud nube. Las infraestructuras son increíblemente complejas y abarcan docenas de servicios que, en los modernos procesos DevOps, están en constante cambio. A medida que aumentan la velocidad y la agilidad, también lo hace el riesgo de introducir problemas de seguridad. La identificación temprana de estos vectores de ataque es fundamental para mitigar el riesgo y facilitar estrategias de respuesta sagaces. En el mundo actual, en el que los despliegues cloud crecen a un ritmo nunca visto, no se puede exagerar la importancia de equipar al SOC con las herramientas adecuadas, y Detect constituye una formidable adición al arsenal del SOC. ¿Le parece interesante? Obtenga más información sobre Detect y regístrese para una prueba gratuita.