Investigadores de ciberseguridad han compartido detalles de una vulnerabilidad de seguridad ahora parchada en Amazon Web Services (AWS) Managed Workflows for Apache Airflow (MWAA) que podría ser potencialmente explotada por un actor malicioso para secuestrar sesiones de víctimas y lograr ejecución remota de código en instancias subyacentes.
La vulnerabilidad, ahora abordada por AWS, ha sido denominada FlowFixation por Tenable.
«Al tomar el control de la cuenta de la víctima, el atacante podría haber realizado tareas como leer cadenas de conexión, agregar configuraciones y desencadenar gráficos acíclicos dirigidos (DAGS)», dijo la investigadora senior de seguridad Liv Matan en un análisis técnico.
«Bajo ciertas circunstancias, tales acciones pueden resultar en RCE en la instancia que subyace a MWAA y en movimiento lateral hacia otros servicios».
Ciberseguridad La causa raíz de la vulnerabilidad, según la firma de ciberseguridad, es una combinación de fijación de sesión en el panel de gestión web de AWS MWAA y una mala configuración de dominio de AWS que resulta en un ataque de scripting entre sitios (XSS).
La fijación de sesión es una técnica de ataque web que ocurre cuando un usuario se autentica en un servicio sin invalidar ningún identificador de sesión existente. Esto permite al adversario forzar (también conocido como fijar) un identificador de sesión conocido en un usuario para que, una vez que el usuario se autentica, el atacante tenga acceso a la sesión autenticada.
Secuestro de Sesiones Al abusar de la falla, un actor de amenazas podría haber obligado a las víctimas a usar y autenticar la sesión conocida del atacante y, en última instancia, tomar el control del panel de gestión web de la víctima.
«FlowFixation destaca un problema más amplio con el estado actual de la arquitectura de dominio y gestión de proveedores de nube en relación con la Lista de Sufijos Públicos (PSL) y los dominios compartidos-padre: ataques del mismo sitio», dijo Matan, agregando que la mala configuración también afecta a Microsoft Azure y Google Cloud.
Tenable también señaló que la arquitectura compartida, donde varios clientes tienen el mismo dominio principal, podría ser una mina de oro para los atacantes que buscan explotar vulnerabilidades como ataques del mismo sitio, problemas de origen cruzado y lanzamiento de cookies, lo que conduce efectivamente a acceso no autorizado, filtraciones de datos y ejecución de código.
Ciberseguridad La falla ha sido abordada tanto por AWS como por Azure al agregar los dominios mal configurados a PSL, lo que hace que los navegadores web reconozcan los dominios agregados como un sufijo público. Google Cloud, por otro lado, ha descrito el problema como no «suficientemente grave» como para justificar una solución.
«En el caso de los ataques del mismo sitio, el impacto de seguridad de la arquitectura de dominio mencionada es significativo, con un riesgo elevado de tales ataques en entornos de nube», explicó Matan.
«Entre estos, los ataques de lanzamiento de cookies y eludir la protección de cookies del mismo sitio son particularmente preocupantes, ya que ambos pueden evadir la protección CSRF. Los ataques de lanzamiento de cookies también pueden abusar de problemas de fijación de sesión».
Un parche de seguridad o actualización de seguridad es una pieza de software que corrige una o más vulnerabilidades de un software. Los fabricantes de software suelen corregir las vulnerabilidades que van descubriendo mediante la publicación de actualizaciones o nuevas versiones.
CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.