Underc0de

Los incidentes de ciberseguridad de Midnight Blizzard y Cloudflare-Atlassian hicieron saltar las alarmas sobre las vulnerabilidades inherentes a las principales plataformas SaaS. Estos incidentes ilustran lo que está en juego en las brechas de SaaS: salvaguardar la integridad de las aplicaciones SaaS y sus datos confidenciales es fundamental, pero no es fácil. Los vectores de amenazas comunes, como el sofisticado spear-phishing, las configuraciones incorrectas y las vulnerabilidades en las integraciones de aplicaciones de terceros, demuestran los complejos desafíos de seguridad a los que se enfrentan los sistemas de TI.

En el caso de Midnight Blizzard, la pulverización de contraseñas contra un entorno de prueba fue el vector de ataque inicial. En el caso de Cloudflare-Atlassian, los actores de amenazas iniciaron el ataque a través de tokens OAuth comprometidos de una violación anterior en Okta, un proveedor de seguridad de identidad SaaS.

¿Qué pasó exactamente?

Violación de Microsoft Midnight Blizzard#
Microsoft fue atacado por los piratas informáticos rusos "Midnight Blizzard" (también conocidos como Nobelium, APT29 o Cozy Bear) que están vinculados al SVR, la unidad del servicio de inteligencia exterior del Kremlin.

En la brecha de Microsoft, los actores de amenazas:

• Se usó una estrategia de difusión de contraseñas en una cuenta heredada y cuentas de prueba históricas que no tenían habilitada la autenticación multifactor (MFA). Según Microsoft, los actores de amenazas "[utilizaron] un número bajo de intentos para evadir la detección y evitar los bloqueos de cuentas en función del volumen de fallas".
• Se aprovechó la cuenta heredada comprometida como punto de entrada inicial para luego secuestrar una aplicación OAuth de prueba heredada. Esta aplicación OAuth heredada tenía permisos de alto nivel para acceder al entorno corporativo de Microsoft.
• Se crearon aplicaciones de OAuth maliciosas aprovechando los permisos de la aplicación de OAuth heredada. Debido a que los actores de amenazas controlaban la aplicación OAuth heredada, podían mantener el acceso a las aplicaciones incluso si perdían el acceso a la cuenta comprometida inicialmente.
• Se concedieron permisos de administrador de Exchange y credenciales de administrador a sí mismos.
• Escalaron los privilegios de OAuth a un nuevo usuario, que ellos controlaban.
• Dio su consentimiento para que las aplicaciones OAuth maliciosas usaran su cuenta de usuario recién creada.
• Se amplió aún más el acceso a la aplicación heredada concediéndole acceso completo a los buzones de correo de M365 Exchange Online. Con este acceso, Midnight Blizzard pudo ver las cuentas de correo electrónico de M365 pertenecientes a miembros del personal superior y filtrar correos electrónicos y archivos adjuntos corporativos.

Brecha entre Cloudflare y Atlassian

El Día de Acción de Gracias, el 23 de noviembre de 2023, los sistemas Atlassian de Cloudflare también se vieron comprometidos por un ataque de estado-nación.

• Esta infracción, que comenzó el 15 de noviembre de 2023, fue posible gracias al uso de credenciales comprometidas que no se habían cambiado tras una infracción anterior en Okta en octubre de 2023.
• Los atacantes accedieron a la wiki interna de Cloudflare y a la base de datos de errores, lo que les permitió ver 120 repositorios de código en la instancia de Atlassian de Cloudflare.
• 76 repositorios de código fuente relacionados con tecnologías operativas clave fueron potencialmente exfiltrados.
• Cloudflare detectó al actor de amenazas el 23 de noviembre porque el actor de amenazas conectó una cuenta de servicio de Smartsheet a un grupo de administradores en Atlassian.

Los actores de amenazas se dirigen cada vez más a SaaS

Estas brechas son parte de un patrón más amplio de actores de estados-nación que atacan a los proveedores de servicios SaaS, incluidos, entre otros, el espionaje y la recopilación de inteligencia. Midnight Blizzard participó anteriormente en importantes operaciones cibernéticas, incluido el ataque de SolarWinds de 2021.

Estos incidentes subrayan la importancia de la supervisión continua de sus entornos SaaS y el riesgo continuo que plantean los adversarios cibernéticos sofisticados que se dirigen a la infraestructura crítica y a la pila tecnológica operativa. También destacan vulnerabilidades significativas relacionadas con la gestión de identidades SaaS y la necesidad de prácticas estrictas de gestión de riesgos de aplicaciones de terceros.

Los atacantes utilizan tácticas, técnicas y procedimientos (TTP) comunes para vulnerar a los proveedores de SaaS a través de la siguiente cadena de eliminación:

• Acceso inicial: Difusión de contraseñas, secuestro de OAuth
• Persistencia: suplanta a un administrador y crea OAuth adicional
• Evasión de defensa: OAuth con privilegios altos, sin MFA
• Movimiento lateral: compromiso más amplio de las aplicaciones conectadas
• Exfiltración de datos: extraiga datos confidenciales y privilegiados de las aplicaciones

Rompiendo la cadena de eliminación de SaaS

Una forma eficaz de romper la cadena de eliminación antes de tiempo es con la supervisión continua, la aplicación granular de políticas y la gestión proactiva del ciclo de vida en sus entornos SaaS. Una plataforma SaaS Security Posture Management (SSPM) como AppOmni puede ayudar a detectar y alertar sobre:

• Acceso inicial: Reglas listas para usar para detectar el riesgo de credenciales, incluida la pulverización de contraseñas, los ataques de fuerza bruta y las políticas de MFA no aplicadas
• Persistencia: Escanee e identifique los permisos de OAuth y detecte el secuestro de OAuth
• Evasión de defensa: Comprobaciones de políticas de acceso, detectan si se crea un nuevo proveedor de identidad (IdP), detectan cambios de permisos.
• Movimiento lateral: Supervise los inicios de sesión y el acceso con privilegios, detecte combinaciones tóxicas y comprenda el radio de explosión de una cuenta potencialmente comprometida

Nota: Este artículo ha sido escrito por Beverly Nevalga, AppOmni.
Fuente: https://thehackernews.com