Falsificando información para acceder a sistemas seguros en la nube: la NSA alerta del que podría ser uno de los mayores fallos de seguridad

La Agencia de Seguridad Nacional de Estados Unidos (NSA) alerta de que los piratas informáticos están falsificando información de autenticación en la nube para obtener acceso a sistemas seguros.

Más concretamente, esta alerta enviada hace referencia a CVE 2020-4006, una vulnerabilidad de inyección de comandos descubierta en noviembre que afecta a Workspace One Access, Access Connector, Identity Manager e Identity Manager Connector de VMware.

En Xataka

China aprovechó un ciberataque de la NSA contra ellos para hacerse con las armas de espionaje digital. Ahora utiliza esa tecnología contra EEUU

En qué consiste el fallo

Según la NSA, los hackers están empleando este error para falsificar credenciales y obtener así acceso a archivos protegidos. Más concretamente, los delincuentes aprovechan el acceso privilegiado en el entorno local para eludir los mecanismos de acceso a la nube y los recursos locales. Además, eso les permite comprometer las credenciales de administrador con la capacidad de administrar los recursos de la nube.

La NSA avisa de que todas estas técnicas se pueden aplicar a todos los entornos de nube que admiten la autenticación federada local. No obstante, hay algunas mitigaciones específicas que se centran en Microsoft Azure.

La NSA asegura que este fallo podría convertirse en una de las mayores vulnerabilidades de todos los tiempos. De hecho, toma como ejemplo el incidente de seguridad SolarWinds, asegurando que es “un ejemplo serio de cómo los sistemas locales pueden verse comprometidos, lo que lleva al abuso de la autenticación federada y el acceso malicioso a la nube".

Recomendaciones de seguridad

La NSA recomienda que quienes usan VMware y otras aplicaciones fortalezcan y hagan un seguimiento y control de los sistemas que ejecutan servicios locales de identidad y federación. También ve necesario bloquear la configuración de inicio de sesión único de usuarios en la nube y controlar los indicadores de compromiso.

La NSA no descarta que este problema de seguridad pueda ser utilizada por “estados nacionales”, además de los ciberdelincuentes. Cabe señalar que, en el caso de SolarWinds, todo apunta a que ha sido un ataque especialmente dirigido por un estado.

Según la NSA, estas tácticas, técnicas y procedimientos pueden combinarse con otras vulnerabilidades para obtener acceso inicial. El acceso inicial se puede conseguir, según la agencia, a través de varios medios, incluidas vulnerabilidades conocidas y desconocidas.

La NSA tiene publicada una breve guía a modo de infografía con la que detectar abusos en los mecanismos de autenticación.