Las aplicaciones de formación intencionalmente vulnerables se utilizan ampliamente para la educación sobre seguridad, las pruebas internas y las demostraciones de productos. Herramientas como OWASP Juice Shop, DVWA, Hackazon y BWApp están diseñadas para ser inseguras de forma predeterminada, lo que las hace útiles para aprender cómo funcionan las técnicas de ataque más comunes en entornos controlados.

El problema no son las aplicaciones en sí mismas, sino la forma en que se implementan y mantienen con frecuencia en entornos de nube reales.

Pentera Labs examinó cómo se utilizan las aplicaciones de formación y demostración en las infraestructuras de nube e identificó un patrón recurrente: las aplicaciones destinadas al uso aislado en laboratorios con frecuencia se encontraban expuestas a la Internet pública, se ejecutaban dentro de cuentas de nube activas y se conectaban a identidades de nube con un acceso más amplio del necesario.

Patrones de despliegue observados en la investigación

Investigación de Pentera Labs descubrió que estas aplicaciones a menudo se implementaban con configuraciones predeterminadas, un aislamiento mínimo y funciones en la nube demasiado permisivas. La investigación descubrió que muchos de estos entornos de formación expuestos estaban directamente relacionados con identidades en la nube activas y funciones privilegiadas, lo que permitía a los atacantes ir más allá de las propias aplicaciones vulnerables y, potencialmente, acceder a la infraestructura de nube más amplia del cliente.

En estos escenarios, una sola aplicación de entrenamiento expuesta puede actuar como punto de apoyo inicial. Una vez que los atacantes puedan aprovechar las identidades de nube conectadas y las funciones privilegiadas, ya no estarán limitados a la aplicación o al host originales. En su lugar, podrían adquirir la capacidad de interactuar con otros recursos dentro del mismo entorno de nube, lo que aumentaría considerablemente el alcance y el posible impacto del ataque.

Como parte de la investigación, Pentera Labs verificó casi 2000 instancias de aplicaciones de formación expuestas y en tiempo real , con cerca de El 60% se aloja en una infraestructura gestionada por el cliente que se ejecuta en AWS, Azure o GCP .

Evidencia de explotación activa

Los entornos de entrenamiento expuestos identificados durante la investigación no estaban simplemente mal configurados. Pentera Labs observó pruebas claras de que los atacantes estaban explotando activamente esta exposición en la naturaleza.

En el conjunto de datos más amplio de aplicaciones de entrenamiento expuestas, aproximadamente Se descubrió que el 20% de las instancias contenían artefactos desplegados por actores malintencionados , incluida la actividad de criptominería, las webshells y los mecanismos de persistencia. Estos artefactos indicaban que los sistemas expuestos estaban en peligro en el pasado y que se estaba cometiendo un abuso continuo.

La presencia de herramientas activas de minería criptográfica y persistencia demuestra que las aplicaciones de entrenamiento expuestas no solo se pueden descubrir, sino que ya se están explotando a gran escala.

Alcance del impacto

Los entornos expuestos y explotados identificados durante la investigación no se limitaron a sistemas de prueba pequeños o aislados. Pentera Labs observó este patrón de implementación en todos los entornos de nube asociados con Las organizaciones de Fortune 500 y los principales proveedores de ciberseguridad, incluidos Palo Alto, F5 y Cloudflare.

Si bien los entornos individuales variaron, el patrón subyacente se mantuvo constante: una aplicación de capacitación o demostración implementada sin suficiente aislamiento, dejada de acceso público y conectada a identidades de nube privilegiadas.

Por qué es importante

Los entornos de formación y demostración se tratan con frecuencia como activos temporales o de bajo riesgo. Como resultado, a menudo se excluyen de los procesos estándar de supervisión de la seguridad, las revisiones de acceso y la administración del ciclo de vida. Con el tiempo, estos entornos pueden permanecer expuestos mucho tiempo después de que su propósito original haya pasado.

La investigación muestra que la explotación no requiere vulnerabilidades de día cero ni técnicas de ataque avanzadas. Las credenciales predeterminadas, las debilidades conocidas y la exposición pública bastaron para convertir las aplicaciones de formación en un punto de entrada para un acceso más amplio a la nube.

Etiquetar un entorno como «entrenamiento» o «prueba» no reduce su riesgo. Cuando se exponen a Internet y se conectan a identidades privilegiadas en la nube, estos sistemas pasan a formar parte de la superficie de ataque efectiva de la organización.

Consulte la versión completa Blog de investigación de Pentera Labs & únase a un seminario web en vivo el 12 de febrero para obtener más información sobre la metodología, el proceso de descubrimiento y la explotación en el mundo real observados durante esta investigación.

Este artículo fue escrito por Noam Yaffe, investigador sénior de seguridad de Pentera Labs. Si tiene preguntas o desea conversar, póngase en contacto con labs@pentera.io

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.