[05/05/2022] Un comportamiento extraño y potencialmente peligroso dentro de Google Cloud Platform (GCP) fue revelado por la empresa de seguridad en la nube Mitiga el jueves. Si GCP no está configurado correctamente, podría ser aprovechado por los atacantes para realizar actividades maliciosas dentro del entorno de la nube de un usuario, según un blog publicado en el sitio web de la empresa israelí.
El comportamiento está vinculado a una de las APIs utilizadas por Google Cloud. La API permite a los usuarios recuperar datos de los puertos serie, pero al crear una máquina virtual en la nube, los datos también podrían escribirse continuamente en los puertos. Además, debido a la forma en que Google Cloud clasifica dicho tráfico, los administradores no tienen mucha visibilidad sobre el mismo. Si un atacante se aprovechara de este comportamiento, sus constantes llamadas a los puertos podrían delatarle, explicó Mitiga, pero es probable que la actividad maliciosa pase desapercibida para los desarrolladores que no estén familiarizados con los detalles de la API.
Los atacantes pueden obtener capacidades de mando y control
Otra rareza de Google Cloud observada por Mitiga es la forma en que permite a los usuarios modificar los metadatos en tiempo de ejecución. Otros proveedores de nube también dan a los usuarios ese poder, pero solo cuando una máquina virtual está apagada. Las máquinas virtuales de Google permiten a los usuarios establecer etiquetas de metadatos con valores personalizados y, por defecto, leer esos valores desde un servidor de metadatos. Junto con la función de lectura del puerto serie, sostuvo Mitiga, se crea un bucle de retroalimentación completo que puede dar a los atacantes, capacidades de mando y control.
La compañía también ilustró cómo el malware podría utilizar la API para obtener acceso administrativo completo a un sistema. Utilizando un comando para configurar una máquina virtual para utilizar los datos del usuario cuando se inicia la máquina virtual, los atacantes pueden escribir un script para cargar en tiempo de ejecución y tomar el control de un sistema.
Mitiga esbozó escenarios de ataque derivados de sus hallazgos:
- Un atacante puede obtener acceso a las credenciales de Google Cloud con los permisos apropiados de la API tanto para setMetadata como para getSerialPortOutput en una o más máquinas virtuales.
- Utilizando métodos tradicionales de movimiento lateral basados en la red, el atacante puede instalar malware en el sistema que se comunica utilizando la API de la nube.
- El atacante puede enviar comandos a la máquina víctima insertándolos en los metadatos personalizados utilizando una clave predeterminada.
- El sistema víctima puede leer continuamente la clave en busca de comandos y, cuando encuentra uno, el comando se ejecuta y la salida se envía a un puerto serie predeterminado.
- El adversario lee continuamente el puerto serie y espera recibir la salida del comando.
Una forma encubierta de mantener el acceso a los sistemas comprometidos
Andrew Johnston, el consultor principal de Mitiga que escribió el blog, descontó la amenaza que supone para las organizaciones el arriesgado comportamiento de la API. "Siempre que se sigan todas las demás pautas de seguridad -las credenciales se almacenan correctamente, las cuentas tienen solo los permisos que necesitan- no hay una amenaza real aquí", señaló. "El problema es que esas cosas son más fáciles de decir que de hacer. Si un atacante consigue acceder a una cuenta de Google Cloud con los permisos adecuados, podría utilizar este vector de ataque para acceder a los sistemas".
"El impacto de esto viene de que es una forma encubierta de mantener el acceso a un sistema comprometido", añadió Johnston. "No es algo que haría saltar las alarmas en un entorno SOC estándar".
Aunque Mitiga no ha encontrado el comportamiento ABI explotado en la naturaleza, Johnston dice que es importante hacer llegar la información a la comunidad de Google Cloud. "Los atacantes sofisticados conocen bien una serie de vectores de ataque que no están disponibles para el público en general", anotó. "La mejor manera de desarmar a este tipo de grupos es identificar estas técnicas y publicarlas, porque cuando las organizaciones son conscientes, pueden mejorar su preparación para las infracciones".
Basado en el artículo de John P. Mello Jr (CSO) y editado por CIO Perú