La búsqueda de IoT expone la persecución de la infraestructura de construcción.

La búsqueda de IoT por parte de nuestros propios investigadores de amenazas de F5 Labs continúa. Su último informe expone no sólo una búsqueda activa de dispositivos IoT vulnerables, sino también ataques a la infraestructura de construcción.

Como parte de su seguimiento de ataques a dispositivos IoT, principalmente a través de acceso Telnet y SSH, los investigadores de amenazas de F5 Labs quizás descubrieron sin darse cuenta intentos de apoderarse de sistemas de infraestructura de compilación, incluidos Jenkins y Vagrant. Además, los sistemas de bases de datos (Oracle, MySQL, PostGres y Hadoop) parecen ser objetivos comunes, así como el proveedor de monitorización Nagios.

Las credenciales utilizadas durante los ataques de fuerza bruta se ven en las “50 credenciales de administrador más atacadas”, en las que todos los sistemas mencionados anteriormente aparecen de forma destacada.

Se debe tener en cuenta que estos ataques se centran en SSH y telnet ( acceso remoto ) a través de los sistemas operativos que los usuarios crean habitualmente al instalar estos sistemas. La mayoría se implementa en un sistema basado en Linux y crea automáticamente un usuario a nivel de sistema neutralizado para su ejecución, según las mejores prácticas. De forma predeterminada, estos usuarios no tienen contraseña. Pero, como se indica en la documentación de Vagrant sobre la creación de una caja base , a estos usuarios a menudo se les proporcionan contraseñas y privilegios de inicio de sesión.

Cabe destacar que en el último informe de F5 Labs, es exactamente esta combinación la que utilizan los atacantes que intentan acceder al sistema, es decir, “vagrant:vagrant”. También es interesante la inclusión de “deploy/deploy” entre las cincuenta credenciales más atacadas. Junto con las credenciales de infraestructura de compilación identificables para Jenkins y Vagrant, esto indica una creciente conciencia de la accesibilidad de dichos sistemas y el entorno rico en objetivos que ofrecen. El acceso a un sistema de compilación o implementación ofrecería una gran cantidad de oportunidades para los atacantes dada la naturaleza distribuida de estos sistemas y su propósito. La inclusión de un usuario de Jenkins podría permitir aparentemente el acceso al código fuente, lo que a su vez ofrece innumerables oportunidades para inyectar una variedad de código malicioso dentro de una aplicação o sistema.

Construir infraestructura es cada vez más vital para los negocios. Es decir, el 90% de los usuarios de Jenkins lo consideran una misión crítica. Pero no se trata solo de Jenkins, sino también de marcos de automatización e infraestructura de compilación en general.

Un porcentaje significativo de organizaciones están utilizando la automatización, en general, para impulsar cambios en producción según nuestra última encuesta sobre el estado de la entrega de aplicação . Esto significa invariablemente que sistemas como Vagrant están activos en entornos de producción, pero no necesariamente aislados.

Se recomienda tener precaución y considerar cuidadosamente las credenciales utilizadas por la infraestructura de compilación y los sistemas asociados. Dado el propósito de estos sistemas, es doblemente importante tener cuidado con las credenciales y limitar (si no denegar por completo) el acceso remoto con servicios de seguridad externos si es necesario.

A medida que la automatización consume más del entorno de producción, es necesario que los líderes empresariales y los profesionales de la seguridad sean conscientes de la amenaza que representa una vulneración de dichos sistemas . Como han descubierto nuestros investigadores de amenazas, los atacantes ya conocen el rico objetivo que ofrecen los sistemas de compilación y automatización y están buscando activamente el acceso.

Manténgase a salvo ahí fuera.