Kubernetes y riesgos de ciberseguridad

a secure MFA such as Authpoint prevents password spraying techniques and Firebox's advanced firewalls reduce the chances of network intrusions

Las autoridades de EE.UU. y el Reino Unido emitieron hace unas semanas una alerta conjunta en la que advierten que el grupo ruso APT-28 ha estado utilizando Kubernetes como vector de ataque para introducirse en las redes de organizaciones privadas e instituciones gubernamentales. Accedieron a esta plataforma con técnicas de password spraying y una vez dentro, se movieron entre los contenedores de las organizaciones y escalaron privilegios aprovechando algunas vulnerabilidades, así se movieron en sus servicios en la nube pero también accedieron a los servidores on-premise.

Esquema de Táctica empleada por los ciberatacantes para introducirse en las redes a través de Kubernetes. Fuente: informe conjunto de la CSA NSCC

Riesgos de los contenedores para aplicaciones

Kubernetes es una plataforma de código abierto que permite administrar cargas de trabajo y servicios mediante contenedores en la nube. En informática, los contenedores consisten en una forma de virtualización que se usan para ejecutar desde microservicios a grandes aplicaciones. Dentro de los contenedores se encuentran todos los ejecutables necesarios: el código binario, las bibliotecas y los archivos de configuración.

Constituye una herramienta muy útil para desarrolladores y los profesionales de TI, ya que pueden probar las aplicaciones en los contenedores sin necesidad de hacer grandes cambios en el entorno y pueden gestionarlos y organizarlos en clústeres, portarlos entre diversas plataformas y escalarlos.

Pero como cualquier plataforma, puede ser susceptible de ser aprovechada por los ciberatacantes: un estudio publicado el pasado mes de junio revelaba que el 89% de los CISO muestran inquietud porque los microservicios, contenedores y Kubernetes tienen “puntos ciegos” de ciberseguridad, ya que los contenedores, al estar segregados del entorno general donde se encuentran los Sistemas Operativos y otras aplicaciones no virtualizadas, pueden escapar a los análisis tradicionales. Este reciente incidente con Password Spraying prueba que esa preocupación tenía su fundamento.

MFA y seguridad de la red completa

El Password Spraying consiste en un ataque de fuerza bruta en el cual, se prueba la misma contraseña en múltiples cuentas antes de repetir el proceso probando con otra distinta. Los cibertacantes suelen utilizar esta técnica como primer paso en sus intentos de acceder a los sistemas, aunque tiene un grado de efectividad relativo: necesita generalmente que la cuenta a la que se dirija tenga una contraseña muy débil o que no se haya cambiado la que estaba por defecto. Sin embargo, este incidente prueba que todavía se sigue empleando, como también lo demostró el Ciberataque a Citrix en 2019.

Por eso, para evitar ciberataques como el de Kubernetes los MSPs deben implementar en las organizaciones una adecuada política de contraseñas que implique un uso de términos que no sean sencillos de averiguar y se actualicen con cierta frecuencia. En WatchGuard lo abordamos y, de hecho, destacamos que en el 81% de los incidentes, los ciberatacantes se aprovecharon de contraseñas débiles

Sin embargo, estas buenas prácticas no son suficientes. En el caso de Kubernetes, algunos analistas apuntan que el grupo APT-28 tiene capacidades suficientes para hacer Password Spraying con contraseñas fuertes. Y en cualquier caso, por muy fuertes que sean, también podrían ser utilizadas en un relleno de credenciales si antes han sido exfiltradas y publicadas en la Dark Web.

Para evitar estos riesgos con las contraseñas, WatchGuard Authpoint proporciona distintos métodos seguros de Identificación Multifactor (MFA) para los usuarios, desde su Aplicación Móvil con firma ADN para el dispositivo a Tokens de hardware que genera contraseñas de un solo uso (OTP) y que duran 30 segundos. Todas ellas hacen que sea extremadamente difícil para los ciberatacantes la utilización de contraseñas para sus ciberataques. Además, Authpoint avisa mediante notificaciones Push si la contraseña ha podido ser filtrada y comprometida.

Por otro lado, los dispositivos Firewall avanzados WatchGuard Firebox previenen la intrusión en las redes corporativas como la que realizó APT-28, gracias a su seguridad de alto rendimiento que aporta una total visibilidad de toda la red. De esta manera, los MSPs podrán evitar accesos no autorizados a las organizaciones desde plataformas externas como Kubernetes.