INTRODUCCIÓN

Para defenderse de los ataques a la cadena de suministro, es necesario entenderlos

Los ataques a la cadena de suministro en la nube constituyen una amenaza emergente que no para de crecer. Pero todavía tenemos mucho que aprender sobre la naturaleza de estos ataques y sobre cómo defendernos de ellos. Para entender mejor esta amenaza cada vez mayor, los investigadores del grupo Unit 42® de Palo Alto Networks analizaron datos procedentes de distintas fuentes públicas de todo el mundo y llevaron a cabo una prueba de equipo rojo contra el entorno de desarrollo de software alojado en la nube de un importante proveedor de SaaS, a petición de este último. El estudio concluye que muchas organizaciones siguen teniendo una falsa sensación de seguridad en lo que respecta a su cadena de suministro en la nube.

El grupo Unit 42 ha estudiado multitud de ataques a la cadena de suministro ya ocurridos. En este informe, que se nutre de sus investigaciones, se explican todas las posibles consecuencias de estos ataques, los aspectos menos conocidos de cómo se producen y las prácticas recomendadas que las organizaciones pueden adoptar de inmediato para proteger sus cadenas de suministro en la nube.

matt signature Matthew Chiodi
Director de Seguridad, Nube Palo Alto Networks
Ver el vídeo
Obtener el informe
Los ataques a la cadena de suministro no son una amenaza nueva

El de SolarWinds fue el primer gran ataque a la cadena de suministro de software en acaparar los titulares de todo el mundo, pero no fue el primero en producirse. Los investigadores del grupo Unit 42 llevan años haciendo un seguimiento de los más graves, algunos de los cuales se remontan a 2015.

  • September 2015XcodeGhost: Un atacante distribuyó una versión del software Xcode de Apple (con el que se desarrollan aplicaciones para iOS y macOS) que inyectaba código adicional en las aplicaciones para iOS creadas con él. Miles de aplicaciones de App Store® de Apple se vieron afectadas.
  • March 2016KeRanger: El ransomware para macOS KeRanger se inyectó en el instalador de Transmission, un conocido cliente de código abierto para la descarga de archivos mediante el protocolo BitTorrent. Al descargar o instalar el programa, los usuarios se infectaban con malware que secuestraba sus archivos y solo les permitía recuperarlos a cambio de un rescate. Para inyectar el ransomware, los atacantes se hicieron con el control de los servidores a través de los cuales se distribuía Transmission.
  • June 2017NotPetya: Una de las actualizaciones del software de contabilidad ucraniano MeDoc se utilizó como vector de ataque para distribuir una carga útil extremadamente dañina y capaz de propagarse por las redes como un gusano.

    Tras infectar los sistemas donde se utilizaba el software, el malware se distribuía a otros hosts de la red, lo que acabó afectando a miles de organizaciones de todo el mundo.
  • September 2017CCleaner: La herramienta CCleaner de Avast, que millones de personas utilizan para el mantenimiento de sus PC, sufrió un ataque dirigido a grandes empresas de tecnología y telecomunicaciones de todo el mundo, a las que pretendía infectar con una carga útil de segunda fase.

En todos estos incidentes, los atacantes tenían acceso a la infraestructura relacionada con los ciclos de desarrollo de software y abusaron de este privilegio para infiltrarse en otras redes.

TÉCNICAS DE INVESTIGACIÓN
A qué hay que estar alerta cuando se tiene una cadena de suministro en la nube

Durante una prueba de equipo rojo solicitada por un cliente de Palo Alto Networks, los investigadores de Unit 42 se hicieron pasar por desarrolladores que, aprovechando su acceso limitado al entorno de integración continua (CI, por sus siglas en inglés) de la organización, intentaban hacerse de forma ilegítima con plenos derechos administrativos sobre toda la infraestructura en la nube. La operación demostró que un empleado con malas intenciones podría, si quisiera, acceder a información confidencial guardada en un repositorio de CI.

  • El equipo de Unit 42 logró descargar todos los repositorios de GitLab que se encontraban en el espacio de almacenamiento de software en la nube del cliente. De ese modo, identificó casi 80 000 recursos en la nube pertenecientes a 154 repositorios de CI.
  • Dentro de los repositorios, los investigadores hallaron 26 pares de claves de IAM codificadas de forma rígida, lo cual les permitió obtener privilegios de mayor nivel para acceder a las operaciones de la cadena de suministro del cliente.

Supply chain attacks are not a new threat
Short for time? Leer el informe
CONCLUSIONES CLAVE

Por qué es importante: una de las claves para que el ataque no pasara inadvertido fue que el cliente había integrado AWS GuardDuty con una plataforma de gestión de la estrategia de seguridad en la nube (concretamente, Prisma Cloud de Palo Alto Networks). Sin embargo, como el cliente solo tenía bien configurada una cuenta, solo una pequeña parte de la actividad maliciosa se detectaba en el SOC.

Por qué es importante: con frecuencia, las herramientas de infraestructura como código (IaC, por sus siglas en inglés) reutilizan varias capas de recursos de terceros; de ahí que, al utilizarlas, pueda crearse un efecto bola de nieve que multiplique rápidamente las vulnerabilidades en la cadena de suministro. Aunque la infraestructura implementada en el siguiente ejemplo funcionará perfectamente, es posible que las configuraciones predeterminadas de los paquetes que dependen de ella no sean seguras. Si un atacante aprovecha esta circunstancia, millones de entornos en la nube conectados podrían verse afectados, como de hecho ha pasado en casos recientes.

IaC security means supply chain security
Leer el informe
La visibilidad de la lista de materiales es crucial

Si algo demuestra este informe es la importancia de adoptar una seguridad shift-left que permita ver claramente todas las cargas de trabajo nativas en la nube. Aunque las estrategias shift-left son un tema de conversación recurrente entre los profesionales de la seguridad, las organizaciones siguen descuidando la seguridad de DevOps debido, en parte, a que no se presta suficiente atención a las amenazas que afectan a la cadena de suministro.

Obtener el informe completo
Obtener la infografía
INFORME SOBRE AMENAZAS

Informe sobre amenazas en la nube de Unit 42

Descargar ahora
PRISMA CLOUD

Prisma Cloud ayuda a su empresa a combatir las amenazas en la nube. Descubra cómo.

Más información
Aproveche el kit de recursos sobre seguridad en la nube

Inscríbase para recibir alertas de seguridad, información sobre eventos relacionados con la seguridad en la nube y noticias de Prisma™ Cloud.

Reciba las últimas novedades, invitaciones a eventos y alertas de amenazas