Falsificando información para acceder a sistemas seguros en la nube: la NSA alerta del que podría ser uno de los mayores fallos de seguridad

Arantxa Herranz

La Agencia de Seguridad Nacional de Estados Unidos (NSA) alerta de que los piratas informáticos estánfalsificando información de autenticación en la nube para obtener acceso a sistemas seguros.

Más concretamente, esta alerta enviada hace referencia aCVE 2020-4006, unavulnerabilidad de inyección de comandosdescubierta en noviembre que afecta a Workspace One Access, Access Connector, Identity Manager e Identity Manager Connector deVMware.

En qué consiste el fallo

Según la NSA, los hackers están empleando este error parafalsificar credenciales y obtener así acceso a archivos protegidos. Más concretamente, los delincuentes aprovechan el acceso privilegiado en el entorno local para eludir los mecanismos de acceso a la nube y los recursos locales. Además, eso les permite comprometer las credenciales de administrador con la capacidad de administrar los recursos de la nube.

La NSA avisa de que todas estas técnicas se pueden aplicar a todos los entornos de nube que admiten la autenticación federada local. No obstante, hay algunas mitigaciones específicas que se centran enMicrosoft Azure.

La NSA asegura que este fallopodría convertirse en una de las mayores vulnerabilidades de todos los tiempos. De hecho, toma como ejemplo el incidente de seguridadSolarWinds, asegurando que es “un ejemplo serio de cómo los sistemas locales pueden verse comprometidos, lo que lleva al abuso de la autenticación federada y el acceso malicioso a la nube".

Recomendaciones de seguridad

La NSA recomienda que quienes usan VMware y otras aplicaciones fortalezcan y hagan un seguimiento y control de los sistemas que ejecutan servicios locales de identidad y federación. También ve necesariobloquear la configuración de inicio de sesión único de usuariosen la nube y controlar los indicadores de compromiso.

La NSA no descarta que este problema de seguridad pueda ser utilizada por “estados nacionales”, además de los ciberdelincuentes. Cabe señalar que, en el caso de SolarWinds, todo apunta a que ha sido un ataque especialmente dirigido por un estado.

Según la NSA, estas tácticas, técnicas y procedimientospueden combinarse con otras vulnerabilidadespara obtener acceso inicial. El acceso inicial se puede conseguir, según la agencia, a través de varios medios, incluidas vulnerabilidades conocidas y desconocidas.

La NSA tiene publicada una breveguía a modo de infografíacon la que detectar abusos en los mecanismos de autenticación.