El estudio de Accurics evalúa las implementaciones de almacenamiento en la nube y encuentra que el 93% está mal configurado

Una gran mayoría de las implementaciones en la nube cuentan con servicios de almacenamiento mal configurados, según una nueva investigación.

Después de analizar un lote de implementaciones en la nube de diferentes empresas, los investigadores de Accurics descubrieron que el 93% de ellas tenían servicios de almacenamiento mal configurados. La mayoría también contenía al menos una exposición a la seguridad de la red que se dejó abierta durante la implementación.

El equipo de Accurics sugiere que las nuevas tendencias en la mala gestión de la seguridad conducen a estos riesgos, ya que "una de cada dos implementaciones tenía credenciales desprotegidas almacenadas en archivos de configuración del contenedor". Lo que es más preocupante, el 41% de las organizaciones evaluadas había dejado una clave de privilegio elevado codificada en un archivo de configuración. Una violación que involucre tal clave expondría todos los recursos asociados.

Un ataque de alto perfil al proveedor de servicios de comunicaciones Twilio demostró recientemente el peligro potencial de un almacenamiento en la nube mal configurado, como los reportados por Accuris. A mediados de julio, un atacante oportunista accedió a un depósito de Twilio S3 con permisos de escritura públicos. Luego, el atacante pudo descargar un lote de código malicioso que puede haber estado activo en la CDN de Twilio hasta por 24 horas.

Riesgos del almacenamiento en la nube

Además de dejar claves codificadas en los archivos de configuración, el estudio de Accurics identificó otros dos errores comunes al implementar el almacenamiento en la nube. El primero es el uso de políticas de administración de acceso e identidad (IAM) innecesariamente permisivas que podrían permitir a un atacante tomar el control de un recurso de nube sensible.

El otro error común fue acerca de las exposiciones de la red generadas por reglas de enrutamiento riesgosas. Los recursos designados como privados estaban, de hecho, expuestos comúnmente debido a las conexiones entre las subredes privadas que los contenían y las subredes públicas. De hecho, en cada una de las implementaciones consideradas por el estudio, existía al menos una ruta de red que podía usarse para acceder a una subred privada desde la Internet abierta.

Accurics señaló la "verdad incómoda" de que las implementaciones en la nube tienden a alejarse de un estado seguro con el tiempo. Esto significa que la seguridad de la infraestructura en la nube debe ser una prioridad a lo largo de la vida útil de cualquier implementación. Es esencial que los problemas se mitiguen antes del aprovisionamiento en la nube, y las implementaciones deben monitorearse continuamente para detectar riesgos una vez que estén en uso.