Microsoft está advirtiendo sobre el posible abuso de las Azure Service Tags por parte de actores maliciosos para falsificar solicitudes de un servicio confiable y eludir las reglas del firewall, permitiéndoles así obtener acceso no autorizado a recursos en la nube.
«Este caso destaca un riesgo inherente al usar las service tags como único mecanismo para verificar el tráfico de red entrante», dijo el Microsoft Security Response Center (MSRC) en una guía emitida la semana pasada.
«Las service tags no deben ser tratadas como un límite de seguridad y solo deben ser utilizadas como un mecanismo de enrutamiento junto con controles de validación. Las service tags no son una forma integral de asegurar el tráfico hacia el origen de un cliente y no reemplazan la validación de entradas para prevenir vulnerabilidades que puedan estar asociadas con solicitudes web.»
Esta declaración responde a los hallazgos de la firma de ciberseguridad Tenable, que encontró que los clientes de Azure cuyas reglas de firewall dependen de las Azure Service Tags podrían ser vulnerados. No hay evidencia de que esta funcionalidad haya sido explotada en la práctica.
El problema, en esencia, se debe a que algunos servicios de Azure permiten tráfico entrante a través de una service tag, lo que potencialmente permite a un atacante en un inquilino enviar solicitudes web manipuladas para acceder a recursos en otro inquilino, asumiendo que ha sido configurado para permitir tráfico desde la service tag y no realiza ninguna autenticación por su cuenta.
Se han encontrado vulnerables al menos 10 servicios de Azure: Azure Application Insights, Azure DevOps, Azure Machine Learning, Azure Logic Apps, Azure Container Registry, Azure Load Testing, Azure API Management, Azure Data Factory, Azure Action Group, Azure AI Video Indexer y Azure Chaos Studio.
«Esta vulnerabilidad permite a un atacante controlar las solicitudes del lado del servidor, suplantando así a servicios confiables de Azure», dijo el investigador de Tenable Liv Matan. «Esto permite al atacante eludir los controles de red basados en las Service Tags, que a menudo se utilizan para prevenir el acceso público a los activos, datos y servicios internos de los clientes de Azure.»
En respuesta a la divulgación a finales de enero de 2024, Microsoft ha actualizado la documentación para señalar explícitamente que «las Service Tags por sí solas no son suficientes para asegurar el tráfico sin considerar la naturaleza del servicio y el tráfico que envía.»
También se recomienda que los clientes revisen su uso de las service tags y aseguren que han adoptado medidas de seguridad adecuadas para autenticar solo el tráfico de red confiable para las service tags.
Esta etiqueta representa las direcciones IP que se usan para los conectores administrados que realizan devoluciones de llamada de webhook entrantes al servicio de Azure Logic Apps y a las llamadas salientes a sus servicios respectivos, por ejemplo, Azure Storage o Azure Event Hubs
El Pentesting, o pruebas de penetración, es una evaluación de seguridad que simula ciberataques controlados contra sistemas y redes de una organización. Realizado por profesionales de seguridad, busca identificar y explotar vulnerabilidades para evaluar la efectividad de las defensas y proporcionar recomendaciones de mejora. Ayuda a prevenir ataques, mejorar la seguridad y cumplir con requisitos normativos. En resumen, es una herramienta vital para fortalecer la seguridad informática de una organización.
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.