{"id":1182824,"date":"2024-02-13T11:51:39","date_gmt":"2024-02-13T11:51:39","guid":{"rendered":"https:\/\/teknomers.com\/es\/incidentes-de-ciberseguridad-de-midnight-blizzard-y-cloudflare-atlassian-lo-que-debe-saber\/"},"modified":"2024-02-13T11:51:44","modified_gmt":"2024-02-13T11:51:44","slug":"incidentes-de-ciberseguridad-de-midnight-blizzard-y-cloudflare-atlassian-lo-que-debe-saber","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/incidentes-de-ciberseguridad-de-midnight-blizzard-y-cloudflare-atlassian-lo-que-debe-saber\/","title":{"rendered":"Incidentes de ciberseguridad de Midnight Blizzard y Cloudflare-Atlassian: lo que debe saber"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>13 de febrero de 2024<\/span>\ue804<\/i>Las noticias de los piratas inform\u00e1ticos<\/span><\/span>Seguridad SaaS\/violaci\u00f3n de datos<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los incidentes de ciberseguridad de Midnight Blizzard y Cloudflare-Atlassian hicieron saltar las alarmas sobre las vulnerabilidades inherentes a las principales plataformas SaaS. Estos incidentes ilustran lo que est\u00e1 en juego en las infracciones de SaaS: salvaguardar la integridad de las aplicaciones SaaS y sus datos confidenciales es fundamental, pero no f\u00e1cil. Los vectores de amenazas comunes, como el sofisticado phishing, las configuraciones err\u00f3neas y las vulnerabilidades en las integraciones de aplicaciones de terceros, demuestran los complejos desaf\u00edos de seguridad que enfrentan los sistemas de TI.<\/p>\n

En el caso de Midnight Blizzard, la difusi\u00f3n de contrase\u00f1as en un entorno de prueba fue el vector de ataque inicial. Para Cloudflare-Atlassian, los actores de amenazas iniciaron el ataque a trav\u00e9s de sitios comprometidos. tokens de OAuth<\/a> de una infracci\u00f3n anterior en Okta, un proveedor de seguridad de identidad SaaS. <\/p>\n

\u00bfQue pas\u00f3 exactamente?<\/h2>\n

Infracci\u00f3n de Microsoft Midnight Blizzard<\/h3>\n

Microsoft fue atacado por los hackers rusos “Midnight Blizzard” (tambi\u00e9n conocidos como Nobelium, APT29 o Cozy Bear) que est\u00e1n vinculados al SVR, la unidad del servicio de inteligencia exterior del Kremlin.<\/p>\n

En la infracci\u00f3n de Microsoft, los actores de la amenaza:<\/p>\n

    \n
  1. Se utiliz\u00f3 una estrategia de distribuci\u00f3n de contrase\u00f1as en una cuenta heredada y en cuentas de prueba hist\u00f3ricas que no ten\u00edan habilitada la autenticaci\u00f3n multifactor (MFA). De acuerdo a microsoft<\/a>los actores de la amenaza “[used] un n\u00famero bajo de intentos para evadir la detecci\u00f3n y evitar bloqueos de cuentas en funci\u00f3n del volumen de fallas”. <\/li>\n
  2. Aprovech\u00f3 la cuenta heredada comprometida como punto de entrada inicial para luego secuestrar una aplicaci\u00f3n OAuth de prueba heredada. Esta aplicaci\u00f3n OAuth heredada ten\u00eda permisos de alto nivel para acceder al entorno corporativo de Microsoft. <\/li>\n
  3. Cre\u00f3 aplicaciones OAuth maliciosas explotando los permisos de la aplicaci\u00f3n OAuth heredada. Debido a que los actores de amenazas controlaban la aplicaci\u00f3n OAuth heredada, pod\u00edan mantener el acceso a las aplicaciones incluso si perd\u00edan el acceso a la cuenta inicialmente comprometida.<\/li>\n
  4. Se otorgaron permisos de intercambio de administrador y credenciales de administrador a s\u00ed mismos.<\/li>\n
  5. Privilegios escalados de OAuth a un nuevo usuario, que ellos controlaban. <\/li>\n
  6. Dio su consentimiento para que las aplicaciones OAuth maliciosas utilicen su cuenta de usuario reci\u00e9n creada.<\/li>\n
  7. Se increment\u00f3 a\u00fan m\u00e1s el acceso de la aplicaci\u00f3n heredada otorg\u00e1ndole acceso completo a los buzones de correo de M365 Exchange Online. Con este acceso, Midnight Blizzard podr\u00eda ver las cuentas de correo electr\u00f3nico de M365 pertenecientes a miembros superiores del personal y filtrar correos electr\u00f3nicos y archivos adjuntos corporativos. <\/li>\n<\/ol>\n\n\n\n\n
    \"Incidentes<\/a><\/td>\n<\/tr>\n
    Recreaci\u00f3n de la ilustraci\u00f3n de Amitai Cohen<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

    Incumplimiento entre Cloudflare y Atlassian<\/h3>\n

    El D\u00eda de Acci\u00f3n de Gracias, 23 de noviembre de 2023, Sistemas Atlassian de Cloudflare<\/a> Tambi\u00e9n se vieron comprometidos por un ataque de un Estado-naci\u00f3n.<\/p>\n

      \n
    1. Esta infracci\u00f3n, que comenz\u00f3 el 15 de noviembre de 2023, fue posible gracias al uso de credenciales comprometidas que no se hab\u00edan modificado tras una infracci\u00f3n anterior en Okta en octubre de 2023. <\/li>\n
    2. Los atacantes accedieron a la wiki interna y a la base de datos de errores de Cloudflare, lo que les permiti\u00f3 ver 120 repositorios de c\u00f3digo en la instancia Atlassian de Cloudflare.<\/li>\n
    3. Potencialmente se extrajeron 76 repositorios de c\u00f3digo fuente relacionados con tecnolog\u00edas operativas clave.<\/li>\n
    4. Cloudflare detect\u00f3 al actor de amenazas el 23 de noviembre porque conect\u00f3 una cuenta de servicio de Smartsheet a un grupo de administraci\u00f3n en Atlassian.<\/li>\n<\/ol>\n
      Gu\u00eda de seguridad SaaS<\/span><\/p>\n

      \u00bfPuede su equipo de seguridad monitorear aplicaciones de terceros? El 60% de los equipos no pueden.<\/p>\n

      <\/a><\/p>\n

      \u00bfCree que la seguridad de su SaaS es de primer nivel? Appomni encuest\u00f3 a m\u00e1s de 600 profesionales de la seguridad global y el 79 % de los profesionales sintieron lo mismo, \u00a1pero se enfrentaron a incidentes de ciberseguridad! Sum\u00e9rjase en los conocimientos del Informe AppOmni 2023.<\/p>\n

      Aprende c\u00f3mo puedes<\/a><\/section>\n

      Los actores de amenazas apuntan cada vez m\u00e1s a SaaS <\/h2>\n

      Estas infracciones son parte de un patr\u00f3n m\u00e1s amplio de actores estatales que apuntan a proveedores de servicios SaaS, incluido, entre otros, el espionaje y la recopilaci\u00f3n de inteligencia. Midnight Blizzard particip\u00f3 anteriormente en importantes operaciones cibern\u00e9ticas, incluido el ataque SolarWinds de 2021. <\/p>\n

      Estos incidentes subrayan la importancia del monitoreo continuo de sus entornos SaaS y el riesgo continuo que plantean los ciberadversarios sofisticados que atacan la infraestructura cr\u00edtica y la tecnolog\u00eda operativa. Tambi\u00e9n destacan vulnerabilidades importantes relacionadas con la gesti\u00f3n de identidades de SaaS y la necesidad de pr\u00e1cticas estrictas de gesti\u00f3n de riesgos de aplicaciones de terceros.<\/p>\n

      Los atacantes utilizan t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) comunes para violar los proveedores de SaaS a trav\u00e9s de la siguiente cadena de eliminaci\u00f3n:<\/p>\n

        \n
      1. Acceso inicial<\/strong>: Spray de contrase\u00f1a, secuestro de OAuth<\/li>\n
      2. Persistencia<\/strong>: Se hace pasar por administrador, crea OAuth adicional<\/li>\n
      3. Evasi\u00f3n de defensa<\/strong>: OAuth con privilegios elevados, sin MFA<\/li>\n
      4. Movimiento lateral<\/strong>: Compromiso m\u00e1s amplio de aplicaciones conectadas<\/li>\n
      5. Exfiltraci\u00f3n de datos<\/strong>: obtenga datos confidenciales y privilegiados de las aplicaciones<\/li>\n<\/ol>\n

        Rompiendo la cadena de destrucci\u00f3n de SaaS<\/h2>\n

        Una forma eficaz de romper la cadena de eliminaci\u00f3n de forma temprana es mediante la supervisi\u00f3n continua, la aplicaci\u00f3n de pol\u00edticas granulares y la gesti\u00f3n proactiva del ciclo de vida de sus entornos SaaS. A Plataforma SaaS de gesti\u00f3n de la postura de seguridad (SSPM)<\/a> como AppOmni puede ayudar a detectar y alertar sobre:<\/p>\n