Los profesionales en este sector suelen decir que la seguridad es un proceso y un sistema, no un destino, y las recientes noticias de Uber y Rockstar Games son un ejemplo más. Los detalles aún están apareciendo, pero aún así podemos analizar estas brechas a un alto nivel y aplicar estas lecciones a nuestros propios programas de seguridad de la información.
Al igual que en el ataque de Lapsus$ contra Electronic Arts en julio de 2021, parece que los atacantes compraron credenciales robadas a los ciberdelincuentes de acceso inicial (IAB). Los IAB suelen recopilar credenciales en masa a través de ataques de phishing por correo electrónico e infectando dispositivos con troyanos que roban información mediante diversos métodos. Utilizan el malware para recopilar todas las contraseñas almacenadas, las cookies de sesión e incluso las carteras de criptomonedas que encuentran en el PC de la víctima y ponen todo a la venta en la dark web.
En un comunicado, Uber afirmó que el ataque comenzó cuando las credenciales de un contratista de la red interna de Uber fueron compradas por Lapsus$ a un IAB. Los atacantes procedieron entonces a intentar utilizar las credenciales repetidamente, activando múltiples notificaciones push multifactor de Duo Security en el teléfono del contratista hasta que éste finalmente sucumbió al diluvio y aceptó una de ellas, otorgando a los intrusos un punto de acceso.
Uber simplemente dice que los intrusos elevaron sus privilegios, pero en una conversación en Telegram, los intrusos afirmaron haber encontrado un script de PowerShell que contenía una contraseña administrativa para la herramienta de gestión de acceso privilegiado (PAM) de Uber. Esta contraseña les dio acceso “uber” a la red corporativa de Uber.
Este nivel de acceso permitió a los intrusos recorrer la red tomando capturas de pantalla de herramientas internas, paneles de servicios en la nube, paneles de seguridad, e incluso obtener acceso al sistema de gestión del programa de recompensas por errores de seguridad.
¿Qué se puede hacer para intentar evitar que se produzcan ataques similares contra tus propios sistemas? Veamos algunos de los aspectos específicos que permitieron que este ataque tuviera éxito, para ver si podemos extraer algunas lecciones para mejorar nuestras propias posturas de seguridad.
El multifactor puede no ser suficiente
A medida que las organizaciones siguen adoptando la autenticación multifactor, los atacantes están mejorando en el aprendizaje de cómo eludirla. Uber había desplegado Duo, un servicio de notificaciones push de Cisco, para proteger su servicio de acceso remoto VPN, lo cual es una gran noticia. El problema es que los delincuentes han aprendido que si bombardean repetidamente a un objetivo con alertas, la mayoría de las veces el objetivo puede ceder y pulsar Aceptar.
¿Qué se puede hacer? Bueno, en un mundo perfecto todos utilizaríamos la autenticación FIDO2, que requiere un token de hardware o un smartphone que debe estar físicamente cerca del dispositivo que se autentifica.
Sin embargo, no todo el mundo está preparado para adoptar esta tecnología, por lo que los servicios multifactoriales como Duo también ofrecen un enfoque híbrido para el push, en el que la aplicación que te pide que te autentifiques te da el código de 6 dígitos y, en lugar de tocar Aceptar en tu dispositivo, debes introducir el código secreto. Esto requeriría que el delincuente interactuara con la víctima y la convenciera de introducir el código en su nombre. No es imposible, pero es una barrera mucho mayor que la de simplemente pulsar el gran y brillante botón verde.
Escalada de privilegios: frenar su avance (en tu red)
Con el tiempo suficiente, casi siempre hay una forma de que un usuario autorizado obtenga privilegios en una cuenta a la que no debería tener acceso. La clave para defenderse de este tipo de ataques es hacer que tarden lo suficiente como para poder detectar sus huellas y desalojarlos antes de que tengan éxito.
El atacante alega que encontró la contraseña del administrador, de la solución de gestión de acceso privilegiado, de Uber en un archivo PowerShell en un recurso compartido de archivos accesible para el usuario. Está claro que esto no es lo ideal, pero plantea la pregunta: ¿Cómo puede ser que fuera suficiente para causar tantos estragos?
Sin conocer todavía los detalles del sistema afectado de Uber, la mayoría de nosotros nos preguntaríamos por qué no se había implantado la autenticación multifactorial. Dando la vuelta a la pregunta, ¿requieres autenticación multifactorial para iniciar sesión en los sistemas internos? Para funciones tan críticas como la gestión de privilegios, el código fuente, los recursos humanos o las finanzas, se debería aplicar las mismas medidas de seguridad que se requieren cuando se autentifica a los usuarios para el acceso a la propia red, y nunca se debería asumir que cualquier persona en la red está autorizada para acceder a los sistemas sensibles sólo porque se ha autenticado en la red en general.
Al igual que realizar una prueba de penetración externa de forma semestral, también es una buena práctica hacer una auditoría del entorno interno precisamente para este tipo de cosas. Puede que haya sido una solución temporal o una práctica heredada que se haya olvidado, pero estas cosas surgen en casi cualquier red razonablemente compleja.
Una vez no es suficiente y no hay “dentro”
La idea detrás del acceso a la red de confianza cero (ZTNA) es que sólo debes tener acceso a lo que necesitas, cuando lo necesitas y nunca se debe confiar en que eres quien dices ser. Autentifica los permisos de cada usuario en el momento del acceso para asegurarse de que todo está en orden, igual que harías con una aplicación de cara al exterior.
De hecho, uno de los beneficios de este enfoque es que puede, de hecho, eliminar el perímetro por completo (o al menos puedes dejar de depender de las soluciones de tipo VPN, reduciendo las capas de protección de los activos que viven detrás del firewall y WAF. Tus activos estarán envueltos en menos capas de “protección”, pero verificar con firmeza y cuidado que cada solicitud de acceso está autenticada y autorizada es, de hecho, una mejor administración de los activos, y es más fácil detectar los problemas cuando llegan.
Tu red no debe parecerse a una barra de caramelo con una cáscara dura y un centro blando y pegajoso. Como le comenté a Paul Ducklin en nuestro breve podcast cuando la noticia de Uber se hizo pública por primera vez, las redes mejor gestionadas tienen un supuesto de incumplimiento. No debería haber nada peligroso por ahí que, en manos de alguien con intenciones maliciosas, pudiera perjudicarte.
Conclusión
Me parece una buena práctica, cada vez que hay titulares de noticias de seguridad, intentar extraer algunas lecciones e imaginar cómo podría actuar mi propio equipo cuando se enfrente a un adversario similar. La defensa exitosa de la red es difícil, pero al usar estas lecciones para afilar tus herramientas, se vuelve un poco más potente.
El propósito de nuestras capas de defensa no debe ser esperaar que una de esas capas va a detener mágicamente a un atacante decidido; más bien, cada una debe ser vista como una oportunidad más para ganar tiempo.
Ese tiempo permite al equipo que supervisa tus sistemas tomar nota de la anomalía y empezar a investigar. El objetivo es que esas capas te hagan ganar el tiempo suficiente para que seas capaz de encontrar el punto de entrada, cerrarlo y desalojar a los atacantes antes de que alcancen sus objetivos.
Cuando el objetivo del atacante es introducir malware, robar propiedad intelectual específica o incluso desencadenar un ataque de ransomware/extorsión, normalmente se necesitan unos pocos días y eso debería ser suficiente para detenerlos en su camino.
Por desgracia, como en el caso de Uber, Rockstar y otras víctimas de Lapsus$, el atacante va detrás de cualquier cosa, simplemente para aparecer en los titulares y causar problemas a las víctimas. El atacante tarda muy poco tiempo en conseguirlo y requiere que la red y la monitorización estén en plena forma para evitarlo.
El dolor de estos incidentes será temporal, y espero que al final todos podamos beneficiarnos de ellos para mejorar nuestros propios procesos y arquitecturas. La seguridad es un campo en evolución y lo mejor que podemos esperar es trabajar juntos, aprender de nuestros errores y seguir subiendo el listón para los ciberdelincuentes.