Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Ataques graves podrían haberse organizado a través de esta vulnerabilidad de la galería pública de Amazon ECR
  • Tecnología

Ataques graves podrían haberse organizado a través de esta vulnerabilidad de la galería pública de Amazon ECR

teknomers 13 de Aralık de 2022 (Last updated: 13 de Aralık de 2022) 3 minutes read
Ataques graves podrían haberse organizado a través de esta vulnerabilidad


13 de diciembre de 2022Ravie LakshmanánSeguridad de software / Seguridad en la nube

Se ha revelado una falla de seguridad crítica en la Galería pública de Amazon Elastic Container Registry (ECR) que podría haber sido potencialmente explotada para organizar una multitud de ataques, según la firma de seguridad en la nube Lightspin.

“Al explotar esta vulnerabilidad, un actor malicioso podría eliminar todas las imágenes en la Galería pública de Amazon ECR o actualizar el contenido de la imagen para inyectar código malicioso”, dijo Gafnit Amiga, director de investigación de seguridad de Lightspin, en un comunicado. reporte compartido con The Hacker News.

“Este código malicioso se ejecuta en cualquier máquina que extrae y ejecuta la imagen, ya sea en las máquinas locales del usuario, en los clústeres de Kubernetes o en los entornos de nube”.

La seguridad cibernética

ECR es un servicio de registro de imágenes de contenedores administrado por Amazon Web Services, lo que permite a los usuarios empaquetar código como imágenes de Docker e implementar los artefactos de manera escalable. Los repositorios públicos alojados en ECR se muestran en lo que se denomina Galería pública ECR.

“De forma predeterminada, su cuenta tiene acceso de lectura y escritura a los repositorios en su registro público”, Amazon notas en su documentación. “Sin embargo, los usuarios de IAM requieren permisos para realizar llamadas a las API de Amazon ECR y enviar imágenes a sus repositorios”.

Pero el problema identificado por Lightspin significaba que actores externos podrían utilizarlo como arma para eliminar, actualizar y crear versiones envenenadas de imágenes legítimas en registros y repositorios que pertenecen a otras cuentas de AWS aprovechando las API públicas de ECR internas no documentadas.

Vulnerabilidad de la galería pública de Amazon ECR
Vulnerabilidad de la galería pública de Amazon ECR

Esto se logra mediante la adquisición de credenciales temporales utilizando Amazon Cognito para autorizar solicitudes a las API internas y activar la acción para eliminar imágenes usando “DeleteImageForConvergentReplicationInternal” o, alternativamente, insertar una nueva imagen a través de la acción “PutImageForConvergentReplicationInternal”.

Lightspin caracterizó la falla como una instancia de “ataque profundo de la cadena de suministro de software”.

Amazon tiene desde implementó una solución para resolver la debilidad a partir del 16 de noviembre de 2022, menos de 24 horas después de que se informó, lo que indica la gravedad del problema. No se requiere ninguna acción del cliente.

“Esta vulnerabilidad podría conducir potencialmente a la denegación de servicio, la exfiltración de datos, el movimiento lateral, la escalada de privilegios, la destrucción de datos y otras rutas de ataque multivariadas que solo están limitadas por la astucia y los objetivos del adversario”, señaló Amiga.

“Un actor malicioso podría envenenar imágenes populares, al tiempo que abusa del modelo de confianza de ECR Public, ya que estas imágenes se harían pasar por verificadas y, por lo tanto, socavarían la cadena de suministro de ECR Public”.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Detenidos ocho franceses por tráfico de drogas a gran escala entre Francia y el Benelux
Next: El esquiador Maier puede quedarse con el bronce

Related Stories

Con 30 millones de suscriptores, el Xbox Game Pass todavía
  • Tecnología

Con 30 millones de suscriptores, el Xbox Game Pass todavía está más lejos de su objetivo (de 77 millones)

teknomers 9 de Temmuz de 2026
Para evitar los impuestos de Trump, Apple destina 30 mil
  • Tecnología

Para evitar los impuestos de Trump, Apple destina 30 mil millones de dólares a chips “Made in USA”

teknomers 9 de Temmuz de 2026
Samsung y Google quieren adelantarse al iPhone Fold este verano
  • Tecnología

Samsung y Google quieren adelantarse al iPhone Fold este verano

teknomers 9 de Temmuz de 2026

You May Have Missed

  • General

«Nunca podrás hablar de tus méritos»: la vida oculta de los dronistas ucranianos que atacaron Moscú.

teknomers 9 de Temmuz de 2026
  • General

Congo informa que el número de casos confirmados de Ébola asciende a 1,759, incluidos 600 fallecimientos

teknomers 9 de Temmuz de 2026
Adolescente, Erling Haaland había publicado una canción en Internet: remixada
  • Deporte

Adolescente, Erling Haaland había publicado una canción en Internet: remixada por Kygo, se convierte en el himno de Noruega.

teknomers 9 de Temmuz de 2026
  • Deporte

Resultados de Wimbledon 2026: Campeones defensores Julian Cash y Lloyd Glasspool eliminados

teknomers 9 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.