Las amenazas cibernéticas son una constante preocupación para individuos, empresas y gobiernos. Un informe reciente ha revelado que los actores de amenazas están utilizando Amazon Web Services (AWS), una de las plataformas de computación en la nube más populares, para llevar a cabo ataques sofisticados. En este artículo exploraremos esta preocupante tendencia, ofreciendo un análisis detallado y consejos para protegerse.
Los ciberdelincuentes están encontrando formas de explotar el servicio de Token de Seguridad de Amazon Web Services (AWS STS) para infiltrarse en cuentas en la nube y ejecutar ataques secundarios. Según un análisis realizado por Thomas Gardner y Cody Betsworth de Red Canary, este servicio les permite a los atacantes asumir falsas identidades y roles de usuario en entornos de nube.
El AWS STS es un servicio web que brinda a los usuarios la posibilidad de obtener credenciales temporales con privilegios restringidos. Esto les permite acceder a los recursos de AWS sin necesidad de una identidad de AWS permanente. Estos tokens STS pueden ser válidos desde 15 minutos hasta 36 horas. Los atacantes tienen la capacidad de robar tokens IAM de larga duración mediante diversas tácticas, incluyendo malware, credenciales expuestas públicamente y ataques de phishing. Posteriormente, utilizan estos tokens para identificar roles y privilegios asociados a través de llamadas API.
"Con base en el nivel de permiso del token, los atacantes pueden incluso generar usuarios IAM adicionales con tokens AKIA de larga duración para mantener su presencia en el sistema en caso de que su token AKIA original y todos los tokens ASIA temporales sean descubiertos y revocados", explicó el investigador.
En la etapa siguiente, los atacantes usan un token STS autenticado por MFA para crear varios tokens temporales nuevos, lo que les permite llevar a cabo actividades posteriores a la explotación, como la exfiltración de datos.
Te podrá interesar leer: Amazon Web Service (AWS) Servicios Destacados y Soluciones
Para prevenir este tipo de abuso de los tokens de AWS, se aconseja supervisar los registros de eventos de CloudTrail, detectar incidentes de encadenamiento de roles y abuso de MFA, y rotar regularmente las claves de acceso de largo plazo de los usuarios de IAM.
"El AWS STS es un elemento de seguridad crucial para limitar el uso de credenciales estáticas y la duración del acceso de los usuarios dentro de su infraestructura en la nube", indicaron los investigadores. "Sin embargo, bajo ciertas configuraciones de IAM comunes en muchas organizaciones, los atacantes también pueden crear y explotar estos tokens STS para acceder a recursos en la nube y llevar a cabo actividades malintencionadas".
1. Fortalecimiento de las Credenciales de Acceso: Utilizar contraseñas fuertes y autenticación de dos factores es fundamental para proteger las cuentas de AWS.
2. Configuraciones de Seguridad Adecuadas: Revisar y ajustar las configuraciones de seguridad de AWS para asegurarse de que todos los servicios estén correctamente protegidos.
3. Monitoreo Continuo: Implementar soluciones de monitoreo para detectar actividades sospechosas en tiempo real.
4. Educación y Conciencia: Capacitar al personal sobre las mejores prácticas de seguridad y los riesgos asociados con el uso de servicios en la nube.
5. Respuesta a Incidentes: Tener un plan de respuesta a incidentes cibernéticos para actuar rápidamente en caso de una brecha de seguridad.
El uso indebido de AWS por parte de actores de amenazas subraya la necesidad de una vigilancia constante y una gestión de seguridad robusta en el uso de servicios en la nube. Las organizaciones deben tomar medidas proactivas para proteger sus activos digitales y prepararse para responder efectivamente a los incidentes de seguridad. Con la creciente dependencia de la infraestructura en la nube, la seguridad cibernética debe ser una prioridad máxima en la agenda de todas las organizaciones.