BLOG

Peligro de los contenedores en la nube

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 24 de julio de 2017

Un informe detecta acceso sin restricciones a los paneles de Kubernetes junto con credenciales de texto sin formato a otras infraestructuras críticas en entornos de nube pública.

La mayoría de las personas cierran sus puertas con llave, al menos cuando no están en casa. Después de todo, nadie quiere llegar a casa y encontrar a alguien tumbado en el sofá, mirando Netflix y destruyendo por completo los algoritmos que determinan lo que aparece en la “lista recomendada” viendo algún género que tú nunca verías. Imagínese el horror.

 

puerta azul abierta

Por eso, puede que le sorprenda saber que, según las estadísticas sobre delincuencia , aproximadamente el 30 % de todos los ladrones utilizan una ventana o puerta abierta o desbloqueada.

Si dirigimos nuestra atención a la tecnología, encontramos “ventanas y puertas abiertas” similares en un informe reciente del equipo CSI de RedLock . RedLock es una plataforma de monitoreo de seguridad de infraestructura basada en la nube y habilitada para API que brinda visibilidad de su entorno de nube. Es como ADT para la nube. Su reciente informe se basa en el análisis de los entornos de sus clientes. Se evaluaron más de un millón de recursos que procesan 12 petabytes de tráfico de red. Descubrió bastantes errores de seguridad, pero esto me llamó la atención:  

285 paneles de Kubernetes (interfaz de administración basada en web) implementados en Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform que no estaban protegidos con contraseña. Tras una investigación más exhaustiva, el equipo encontró credenciales de texto plano para otras infraestructuras críticas dentro de los sistemas Kubernetes. [énfasis mío]

El descubrimiento de credenciales en texto simple, lamentablemente, no es sorprendente. Quizás recuerdes que este problema se planteó a principios de 2016 cuando hablamos de “ La nueva amenaza interna: Marcos de automatización ”. Lamentablemente, si deja la puerta principal abierta, el uso de credenciales de texto simple para autorizar la actividad en entornos de contenedores puede constituir una amenaza tan externa como interna.

Ahora, podríamos argumentar que quizás esos paneles de control abiertos no eran críticos y probablemente ni siquiera eran de producción. Son solo de prueba o de desarrollo, ¿verdad? Eran una prueba de concepto para contenerizar aplicaciones que más tarde fueron olvidadas o no se consideraron una amenaza. Excepto que sabemos que estos tipos de entornos no gobernados en la nube contribuyen a su proliferación , lo que devora presupuestos e introduce riesgos además del de, oh, acceso sin restricciones a un sistema al que se le puede ordenar que ponga en marcha innumerables sistemas con solo hacer clic en un botón.

El mismo informe encontró que "el 14% de las cuentas de usuario están inactivas donde las credenciales están activas pero no se han producido inicios de sesión en los últimos 90 días", lo que ciertamente parece proporcionar más evidencia de que una buena cantidad de recursos en la nube quedan sin administrar y probablemente sin monitorear su actividad.

Dejar incluso una puerta o ventana sin llave aumenta el riesgo. El problema con la seguridad física es que, en términos generales, los malhechores deben probar físicamente su puerta para determinar su estado. Esto significa tiempo y esfuerzo físico. En el mundo digital ese requisito ha desaparecido. Puedo escanear sus sistemas con un script y hacer que me envíe un mensaje detallando todos los sistemas que encontró en ejecución y abiertos para acceso en cuestión de segundos. Existe una barrera de entrada más baja en el juego del robo digital que hace que sea aún más peligroso dejar una sola puerta abierta.

La migración lenta pero constante a entornos basados en la nube ha tenido un impacto en muchos aspectos de TI. Un tema que rara vez mencionamos es la administración. Pero deberíamos hacerlo, sobre todo porque la mayoría de ellos hoy en día se entregan mediante una interfaz basada en web y ofrecen un fácil acceso al puerto 80 a cualquiera que lo busque. Esto significa que la seguridad de las consolas administrativas y los paneles de control debe considerarse una prioridad. Estos sistemas se basan en componentes web estándar, muchos de los cuales son vulnerables a las mismas fallas de seguridad que sus contrapartes orientadas al usuario. Ya sea que se trate de secuencias de comandos entre sitios o SQLi, contraseñas predeterminadas o entradas por puerta trasera, debemos (y esto es un DEBER al estilo RFC) dedicar tiempo y presupuesto a probar y proteger el lado administrativo de los sistemas y entornos que usamos para implementar nuestras aplicaciones.

No estamos hablando de un “nuevo” paradigma de seguridad; estamos hablando de seguridad básica de aplicaciones web. Bloquear el acceso a las aplicaciones web es algo que venimos haciendo desde hace casi veinte años. Es algo que se entiende bien y no debería ser algo que ignoremos alegremente solo porque es solo desarrollo o prueba.

Basta con que una puerta esté abierta para que un ladrón (digital o no) pueda acceder a toda su casa. Y las consecuencias cuando es digital se extienden más y más rápido gracias a la tecnología y la facilidad con la que podemos escanear, penetrar y acceder a los sistemas conectados.

Mantente a salvo ahí fuera. No ignore la seguridad de sus consolas y sistemas administrativos.