{"id":1460742,"date":"2024-11-28T01:02:44","date_gmt":"2024-11-28T01:02:44","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-puntos-ciegos-de-ciberseguridad-en-las-herramientas-iac-y-pac-exponen-las-plataformas-en-la-nube-a-nuevos-ataques\/"},"modified":"2024-11-28T01:02:49","modified_gmt":"2024-11-28T01:02:49","slug":"los-puntos-ciegos-de-ciberseguridad-en-las-herramientas-iac-y-pac-exponen-las-plataformas-en-la-nube-a-nuevos-ataques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-puntos-ciegos-de-ciberseguridad-en-las-herramientas-iac-y-pac-exponen-las-plataformas-en-la-nube-a-nuevos-ataques\/","title":{"rendered":"Los puntos ciegos de ciberseguridad en las herramientas IaC y PaC exponen las plataformas en la nube a nuevos ataques"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">25 de noviembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad en la nube\/ataque a la cadena de suministro<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/Los-puntos-ciegos-de-ciberseguridad-en-las-herramientas-IaC-y.gif\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han revelado dos nuevas t\u00e9cnicas de ataque contra herramientas de infraestructura como c\u00f3digo (IaC) y pol\u00edticas como c\u00f3digo (PaC), como Terraform de HashiCorp y Open Policy Agent (OPA) de Styra, que aprovechan lenguajes dedicados de dominio espec\u00edfico (DSL) para violar plataformas en la nube y extraer datos.<\/p>\n<p>&#8220;Dado que estos son lenguajes reforzados con capacidades limitadas, se supone que son m\u00e1s seguros que los lenguajes de programaci\u00f3n est\u00e1ndar, y de hecho lo son&#8221;, Shelly Raban, investigadora senior de seguridad de Tenable. <a rel=\"noopener nofollow\" href=\"https:\/\/www.tenable.com\/blog\/the-dark-side-of-domain-specific-languages-uncovering-new-attack-techniques-in-opa-and\" target=\"_blank\">dicho<\/a> en un informe t\u00e9cnico publicado la semana pasada. &#8220;Sin embargo, m\u00e1s seguro no significa a prueba de balas&#8221;.<\/p>\n<p>OPA es un popular motor de pol\u00edticas de c\u00f3digo abierto que permite a las organizaciones aplicar pol\u00edticas en entornos nativos de la nube, como microservicios, canales de CI\/CD y Kubernetes. Las pol\u00edticas se definen utilizando un lenguaje de consulta nativo llamado <a rel=\"noopener nofollow\" href=\"https:\/\/www.openpolicyagent.org\/docs\/latest\/policy-language\/\" target=\"_blank\">rego<\/a> cuales son entonces <a rel=\"nofollow noopener\" href=\"https:\/\/www.wiz.io\/academy\/open-policy-agent-opa\" target=\"_blank\">evaluado<\/a> por la OPA para emitir una decisi\u00f3n.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zerotrust-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1732617974_421_CISA-insta-a-las-agencias-a-aplicar-parches-criticos-quotRedes.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El m\u00e9todo de ataque ideado por Tenable se dirige a la cadena de suministro, en la que un atacante obtiene acceso no autorizado a trav\u00e9s de una clave de acceso comprometida para insertar una pol\u00edtica Rego maliciosa en un servidor OPA, que se utiliza posteriormente durante la fase de decisi\u00f3n de la pol\u00edtica para permitir acciones maliciosas como la exfiltraci\u00f3n de credenciales utilizando una funci\u00f3n incorporada conocida como &#8220;<a rel=\"noopener nofollow\" href=\"https:\/\/www.openpolicyagent.org\/docs\/latest\/policy-reference\/#http\" target=\"_blank\">http.enviar<\/a>&#8220;.<\/p>\n<p>Incluso en los casos en los que una implementaci\u00f3n de OPA restringe el uso de http.send, la empresa de ciberseguridad descubri\u00f3 que es posible utilizar otra funci\u00f3n llamada &#8220;<a rel=\"noopener nofollow\" href=\"https:\/\/www.openpolicyagent.org\/docs\/latest\/policy-reference\/#builtin-net-netlookup_ip_addr\" target=\"_blank\">net.lookup_ip_addr<\/a>&#8221; para contrabandear los datos mediante b\u00fasquedas de DNS a trav\u00e9s de una t\u00e9cnica conocida como t\u00fanel DNS.<\/p>\n<p>&#8220;Por lo tanto, la funci\u00f3n net.lookup_ip_addr es otra funci\u00f3n que podr\u00eda considerar restringir o al menos tener en cuenta en las pol\u00edticas, ya que tambi\u00e9n introduce el riesgo de filtraci\u00f3n de datos de su implementaci\u00f3n de OPA&#8221;, dijo Raban.<\/p>\n<p>Terraform, similar a OPA, <a rel=\"noopener nofollow\" href=\"https:\/\/developer.hashicorp.com\/terraform\/tutorials\/aws-get-started\/infrastructure-as-code\" target=\"_blank\">objetivos<\/a> a <a rel=\"noopener nofollow\" href=\"https:\/\/www.wiz.io\/academy\/terraform-security-best-practices\" target=\"_blank\">simplificar<\/a> el proceso de configuraci\u00f3n, implementaci\u00f3n y gesti\u00f3n de recursos en la nube a trav\u00e9s de definiciones basadas en c\u00f3digo. Estas configuraciones se pueden configurar utilizando otro DSL declarativo llamado lenguaje de configuraci\u00f3n HashiCorp (<a rel=\"noopener nofollow\" href=\"https:\/\/developer.hashicorp.com\/terraform\/language\/syntax\/configuration\" target=\"_blank\">clorhidrato<\/a>).<\/p>\n<p><iframe loading=\"lazy\" title=\"Supply Chain Attack on OPA Using Malicious Policies\" width=\"640\" height=\"360\" src=\"https:\/\/www.youtube.com\/embed\/nm_zqK5ZUKY?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe><\/p>\n<p>Un atacante podr\u00eda apuntar a la plataforma IaC de c\u00f3digo abierto aprovechando su &#8220;<a rel=\"noopener nofollow\" href=\"https:\/\/developer.hashicorp.com\/terraform\/cli\/commands\/plan\" target=\"_blank\">plan de terraformaci\u00f3n<\/a>&#8220;comando, que normalmente se activan como parte de GitHub&#8221;<a rel=\"noopener nofollow\" href=\"https:\/\/docs.github.com\/en\/actions\/writing-workflows\/choosing-when-your-workflow-runs\/events-that-trigger-workflows#pull_request\" target=\"_blank\">solicitud_pull<\/a>&#8220;flujos de trabajo, para ejecutar cambios no revisados \u200b\u200bque contienen una fuente de datos maliciosa durante el proceso de CI\/CD.<\/p>\n<p>&#8220;Las fuentes de datos se ejecutan durante el &#8216;plan de terraformaci\u00f3n&#8217;, lo que reduce significativamente el punto de entrada de los atacantes&#8221;, se\u00f1al\u00f3 Tenable. &#8220;Esto representa un riesgo, ya que un atacante externo en un repositorio p\u00fablico o un interno malicioso (o un atacante externo con un punto de apoyo) en un repositorio privado podr\u00eda explotar una solicitud de extracci\u00f3n para sus objetivos maliciosos&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-nov\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1732700812_978_INTERPOL-combate-la-ciberdelincuencia-en-Africa-1006-detenciones-y-134089.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Estas fuentes de datos, a su vez, podr\u00edan ser una fuente de datos externa no autorizada, un m\u00f3dulo Terraform compartido a trav\u00e9s de registros p\u00fablicos o privados, o un <a rel=\"noopener nofollow\" href=\"https:\/\/registry.terraform.io\/providers\/hashicorp\/dns\/latest\/docs\" target=\"_blank\">fuente de datos DNS<\/a>lo que requiere que solo se utilicen componentes de terceros de fuentes confiables. Algunas de las otras recomendaciones para mitigar dichos riesgos incluyen:<\/p>\n<ul>\n<li>Implemente un control de acceso granular basado en roles (RBAC) y siga el principio de privilegio m\u00ednimo<\/li>\n<li>Configure el registro a nivel de aplicaci\u00f3n y de nube para monitoreo y an\u00e1lisis<\/li>\n<li>Limitar el acceso a la red y a los datos de las aplicaciones y las m\u00e1quinas subyacentes.<\/li>\n<li>Evite la ejecuci\u00f3n autom\u00e1tica de c\u00f3digo no revisado y potencialmente malicioso en canalizaciones de CI\/CD<\/li>\n<\/ul>\n<p>Adem\u00e1s, las organizaciones pueden utilizar <a rel=\"noopener nofollow\" href=\"https:\/\/www.wiz.io\/academy\/iac-scanning\" target=\"_blank\">Herramientas y soluciones de escaneo IaC<\/a> como Terrascan y Checkov para identificar de forma preventiva configuraciones err\u00f3neas y problemas de cumplimiento antes de la implementaci\u00f3n.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/11\/cybersecurity-flaws-in-iac-and-pac.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80225 de noviembre de 2024\ue804Ravie LakshmananSeguridad en la nube\/ataque a la cadena de suministro Los investigadores de ciberseguridad<\/p>\n","protected":false},"author":1,"featured_media":1460744,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,6370,23301,4664,26487,11109,169629,246,201033,36,4654,201031,4659,4653,4655,10650,2431,63655,248,1124,246983,255454,246984,201032,246982,4660],"class_list":["post-1460742","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-ciberseguridad","tag-ciegos","tag-como-hackear","tag-exponen","tag-herramientas","tag-iac","tag-las","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nube","tag-nuevos","tag-pac","tag-plataformas","tag-puntos","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1460742","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1460742"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1460742\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1460744"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1460742"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1460742"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1460742"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}