Descubriendo nuevas estrategias que los atacantes pueden emplear para aprovechar vulnerabilidades en software de código abierto, Tenable señaló que esto puede afectar a los lenguajes específicos de dominio, aumentando las amenazas a la ciberseguridad de las empresas.
Tenable ha revelado que su equipo de investigación de seguridad en la nube ha descubierto nuevas técnicas de ataque
Mediante un comunicado de prensa, Tenable ha identificado nuevas técnicas de ataque dirigidas a los Lenguajes Específicos de Dominio (DSLs, por sus siglas en inglés) empleados en plataformas populares como Policy-as-Code (PaC) e Infrastructure-as-Code (IaC). Estas vulnerabilidades pueden ser explotadas para comprometer identidades en la nube, facilitar el movimiento lateral y extraer datos confidenciales.
El uso de Infrastructure-as-Code (IaC) se ha convertido en un pilar fundamental para las prácticas modernas de DevOps en entornos de nube, mientras que las herramientas de Policy-as-Code desempeñan un papel crucial en la gestión de implementaciones complejas y críticas. Aunque los DSLs suelen considerarse más seguros que los lenguajes de programación tradicionales debido a su diseño restringido y reforzado, frecuentemente se asume erróneamente que son seguros por defecto, lo que abre una brecha que los atacantes pueden explotar.
A pesar de que los lenguajes en Open Policy Agent (OPA) y Terraform de HashiCorp están diseñados con un enfoque en la seguridad, Tenable ha encontrado configuraciones incorrectas específicas que pueden ser manipuladas a través de integraciones con componentes de terceros.
“Las nuevas técnicas de ataque resaltan lo compleja que puede llegar a ser la seguridad en la nube. Las organizaciones en América Latina están cada vez más en riesgo, y debemos actuar proactivamente para ayudar a reducir la exposición a amenazas y proteger los entornos críticos en la nube”, aseguró Alejandro Dutto, Director de Ingeniería de Seguridad para Tenable en América Latina y Caribe.
Los DSLs, como Terraform de HashiCorp, están diseñados para ser seguros
Existen múltiples escenarios en los que se puede llevar a cabo un ciberataque. Open Policy Agent, un motor de políticas utilizado para la autorización de microservicios y la gestión de políticas de infraestructura, emplea Rego, un lenguaje declarativo que, aunque poderoso, puede ser aprovechado de manera maliciosa debido a sus funciones integradas.
Durante su investigación, descubrieron que un atacante podría comprometer la cadena de suministro de políticas e insertar código malicioso en Rego. Estas políticas maliciosas, ejecutadas durante las evaluaciones, podrían permitir acciones como la exfiltración de datos sensibles o credenciales.
Otro posible vector de ataque se encuentra en Terraform, una herramienta de IaC ampliamente adoptada por su diseño declarativo, soporte comunitario, enfoque multiplataforma y uso de componentes reutilizables. Asimismo, se identificó un riesgo en configuraciones donde Terraform Plan se ejecuta automáticamente durante los pull requests en las canalizaciones CI/CD. Esto podría ser explotado por atacantes para ejecutar código no revisado, abriendo la puerta a diversos tipos de ataques.
La compañía recomienda implementar Control de Acceso Basado en Roles (RBAC) aplicando el principio de privilegio mínimo, verificar componentes de terceros de fuentes confiables, habilitar registros exhaustivos para monitoreo y detección de anomalías, y usar el archivo capabilities.json de OPA para restringir el acceso a redes y datos. Además, sugiere escanear la seguridad en la canalización CI/CD antes de la etapa terraform plan para prevenir la ejecución de código malicioso.
