Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Sumo Logic: Acceso No Autorizado a AWS con Credenciales Robadas

Escrito por Alexander Chapellin | Nov 22, 2023 8:00:00 PM

La ciberseguridad es una preocupación creciente para empresas y usuarios individuales por igual. Un ejemplo reciente y alarmante de esta problemática es el incidente de seguridad de Sumo Logic, una empresa líder en análisis de datos y seguridad en la nube. En este artículo profundizaremos en el incidente, proporcionando una explicación clara y sencilla de lo ocurrido, sus implicaciones y las lecciones aprendidas.

 

¿Qué es Sumo Logic?

 

Sumo Logic, reconocida en el ámbito de la ciberseguridad por su especialización en la gestión de registros, análisis e inteligencia en la nube, experimentó recientemente una brecha de seguridad. La situación se hizo evidente cuando detectaron un acceso no autorizado a su cuenta de Amazon Web Services (AWS).

La empresa, que brinda servicios a más de 2100 clientes empresariales a nivel mundial, se enfrentó a un riesgo significativo debido a este incidente. Si no se hubiera identificado a tiempo, la brecha podría haber comprometido seriamente los datos de los clientes, poniendo en peligro la reputación de Sumo Logic como un proveedor confiable de soluciones de ciberseguridad. Este evento subraya los retos continuos en la protección de activos digitales en entornos de nube.

 

Te podría interesar leer:  Amazon Web Service (AWS) Servicios Destacados y Soluciones

 

¿Qué sucedió y cómo se accedió a las credenciales de AWS de Sumo Logic?

 

Aviso de Sumo Logic del 7 de noviembre de 2023

 

El descubrimiento de la violación se realizó el 3 de noviembre de 2023, cuando un atacante logró acceder a una cuenta de AWS de Sumo Logic usando credenciales robadas.

En una notificación de seguridad publicada en su sitio web, Sumo Logic informó que, aunque encontraron evidencia de la violación, no se detectó ningún efecto adverso en sus redes o sistemas, y que los datos de los clientes seguían estando encriptados. La empresa actuó con rapidez para contener la violación en su infraestructura comprometida y comenzó a cambiar las credenciales afectadas.

El comunicado también mencionaba: "Hemos identificado y estamos protegiendo las credenciales que podrían haber sido expuestas, implementando medidas de seguridad adicionales para reforzar nuestros sistemas. Esto incluye mejoras en nuestro monitoreo y soluciones a vulnerabilidades potenciales para prevenir incidentes similares en el futuro. Continuamos examinando nuestros registros en busca de cualquier indicio de actividad maliciosa".

Los métodos específicos por los cuales el atacante pudo haber obtenido las credenciales todavía no son claros, pero podrían incluir técnicas como ataques de phishing, cuentas de empleados vulneradas, o fallos en servicios de terceros.

 

Te podría interesar leer:  Protección de Phishing: No Muerdas el Anzuelo

 

Recomendaciones de Seguridad de Sumo Logic

 

Sumo Logic aconseja a sus clientes tomar las siguientes medidas preventivas:

 

  • Actualizar de manera urgente las claves de acceso a la API de Sumo Logic.
  • Cambiar todas las credenciales usadas para acceder a Sumo Logic o que hayan sido compartidas con la empresa para acceder a otros sistemas.

 

Anteriormente, la empresa también había recomendado cambiar:

 

  • Credenciales para los recopiladores instalados de Sumo Logic.
  • Credenciales de terceros almacenadas en la empresa para la recolección de datos (como acceso a S3).
  • Credenciales de terceros guardadas como parte de la configuración de conexión de webhook.
  • Contraseñas de usuario para cuentas de Sumo Logic.

 

Te podría interesar leer:  Evitando el Desastre del Data Breach

 

A partir del 8 de noviembre, Sumo Logic actualizó estas recomendaciones basándose en su investigación continua. Ahora sugieren como medida adicional la rotación de credenciales de terceros almacenadas para la configuración de conexión de webhook.

El incidente de seguridad en Sumo Logic sirve como un recordatorio crítico de los riesgos asociados con la ciberseguridad en la era digital. A medida que las empresas continúan adoptando soluciones en la nube, la necesidad de prácticas de seguridad robustas y proactivas se vuelve cada vez más crucial. Este caso destaca la importancia de la gestión adecuada de credenciales, la vigilancia constante y una respuesta rápida y eficaz a los incidentes de seguridad.

Al mantenerse informados y aplicar las lecciones aprendidas de incidentes como este, las empresas pueden fortalecer sus defensas y proteger mejor tanto sus datos como los de sus clientes.