Cómo proteger las nubes públicas contra vulnerabilidades comunes

11 Oct 2019

Muchos negocios utilizan ambientes basados en la nube que consisten en recursos de nubes privadas locales y nubes públicas, lo cual se conoce como nube híbrida. Sin embargo, en términos de ciberseguridad, las empresas tienden a enfocarse más en la protección de los ambiente virtualizados o físicos, con lo cual descuidan la parte de la infraestructura que se encuentran en las nubes públicas. Algunas de las empresas están convencidas de que los proveedores de servicios de nube deberían hacerse responsables de la protección; otras creen que las nubes públicas se han diseñado para ser seguras, por lo que no requieren protección adicional. Pero ambas suposiciones son incorrectas: al igual que el resto de tu infraestructura, las nubes públicas son tan susceptibles a la explotación de sus vulnerabilidades de software, a los ataques tipo “poisoning” del repositorio de actualización, a la explotación de las conexiones de red y a ver comprometida su información de cuenta. A continuación te explicamos por qué.

Vulnerabilidades de RDP y SSH

Por defecto, el RDP se encuentra activado en instancias como Amazon, y no se diseñó para ser compatible con la autenticación de dos factores. El RDP se ha convertido en el objetivo de diferentes herramientas de ataque por fuerza bruta. Algunos de ellos se centran en varios de los nombres de usuario por defecto más frecuentes (como “Administrador”) e intentan adivinarlo miles de veces. Otros intentan adivinar el nombre de inicio de sesión único del administrador mediante los apellidos y las contraseñas más frecuentes. Los algoritmos de los ataques por fuerza bruta pueden limitar o aleatorizar el número de intentos, con pausas entre conjuntos de ataques, con el fin de evadir la detección automática. Otro método es el ataque por fuerza bruta de las contraseñas de las credenciales de inicio de sesión del usuario de SSM que a menudo se encuentra programado en las instancias de AWS.

Los servicios SSH enfrentan todo el tiempo intentos similares de ataque por fuerza bruta, y pese a que SSH ofrece mayor protección que RDP (por ejemplo, la autenticación de dos factores), un servicio configurado a la ligera puede proporcionar acceso inmediato a un malhechor persistente. Los ataques por fuerza bruta contra SSH y RDP constituyen hasta el 12% del total de ataques contra los honeypots de IdC (señuelos que imitan exploits de los dispositivos) de Kaspersky durante la primera mitad del 2019.

Vulnerabilidades del software de terceros

Las nubes públicas pueden (y de hecho, lo hacen) exponerte a las vulnerabilidades. He aquí un par de ejemplos de cómo una vulnerabilidad en el software de terceros le ofrece a un atacante la oportunidad de ejecutar un código en la propia instancia.

El 3 de junio de 2019, se descubrió una vulnerabilidad en Exim, un popular servidor de correo electrónico que normalmente se implementaba en las nubes públicas. La vulnerabilidad permitía la ejecución de código remoto. Si el servidor se ejecuta con privilegios root, como suele ser, el código malicioso que se introduzca en el servidor se ejecutará entonces con privilegios root. Otra vulnerabilidad de Exim, identificada en 2019, también permitía la ejecución de código remoto con privilegios root.

Otro ejemplo es el hackeo en 2016 del sitio web oficial de Linux Mint, lo cual provocó que se alteraran las distribuciones para incluir malware con una puerta trasera IRC con funcionalidad DDOS. El malware también pudo usarse para introducir cargas nocivas en las máquinas infectadas. Otros casos referidos involucraban a los módulos node.js maliciosos, contenedores infectados en el Docker Hub, entre otros.

Cómo reducir el riesgo

Los cibercriminales pueden ser muy ingeniosos a la hora de encontrar puntos de acceso a la infraestructura, especialmente cuando esta es abundante, parecida y con problemas similares, que se creía que era segura por diseño, creencia que le venía muy bien a los criminales. Para reducir y gestionar el riesgo de modo más efectivo, protege los sistemas operativos en tus instancias de nube y máquinas virtuales. Evidentemente, la protección básica de antivirus básico y antimalware no son suficientes. Las mejores prácticas de la industria indican que todos los sistemas operativos en una infraestructura necesitan de una protección integral y multicapa, recomendación que también hacen los proveedores de servicios de nube pública.

Ahí es donde aparece Kaspersky Hybrid Cloud Security, una solución de seguridad. Nuestra solución protege varios tipos de cargas de trabajo en distintas plataformas, mediante el uso de múltiples capas de tecnologías de seguridad, las cuales incluyen el reforzamiento del sistema, la prevención de exploits, el monitoreo de la integridad de archivos, un bloqueador de ataques de red, un antimalware estático y basado en comportamiento, entre otros. Si quieres obtener más información sobre nuestra solución, sigue este enlace.