Tuberías sucias y la importancia de la protección de la infraestructura de aplicaciones

A principios de este año, hemos visto una serie de vulnerabilidades a nivel de infraestructura que afectaron a las organizaciones nativas de la nube, como Log4j y Pwnkit. Continuando esa tendencia está Dirty Pipe, una vulnerabilidad que ocurre en el kernel de Linux. Dirty Pipe permite sobrescribir datos en archivos arbitrarios de solo lectura, lo que puede provocar una escalada de privilegios al inyectar código en procesos raíz.

Dado que los actores maliciosos pueden aprovechar Dirty Pipe para causar daños a nivel de infraestructura, esto puede representar un problema para muchas empresas. Pero con una visión integral del entorno completo, vulnerabilidades como estas pueden gestionarse adecuadamente a medida que surgen.

El problema de defenderse de las tuberías sucias

Muchas organizaciones que están llevando a cabo esfuerzos de transformación digital se centran en “modernizar” sus aplicações comerciales clave, según el Informe sobre el estado de la estrategia de aplicação de F5. Vemos que nuestros clientes invierten cada vez más en infraestructura basada en microservicios para ejecutar estas aplicações, porque ofrecen importantes beneficios como mayor agilidad y ritmo de innovación.

En consonancia con este impulso por modernizar las aplicações, también estamos viendo una mayor necesidad de protección de las aplicação . El mes pasado, F5 abordó este problema con el lanzamiento de F5 Distributed Cloud WAAP , que ofrece a los clientes una gran cantidad de herramientas para proteger la capa de aplicação , como Bot Defense o Advanced WAF. Esta solución brinda a nuestros clientes la capacidad de bloquear ataques que afecten a la organización mediante el acceso a aplicações comerciales clave.

El problema con vulnerabilidades como Dirty Pipe (y otros exploits recientes como Pwnkit o Log4j) es que simplemente bloquear a los actores maliciosos para que no accedan a la capa de aplicação mediante herramientas como Distributed Cloud WAAP no es suficiente cuando el ataque dirigido expone debilidades a nivel de infraestructura. Las aplicações son tan seguras como la infraestructura nativa de la nube en la que se ejecutan, por lo que para defenderse contra una vulnerabilidad como Dirty Pipe, los clientes necesitan tener protección para la infraestructura en sí. Con la adquisición de Threat Stack , F5 está en una posición ideal para ofrecer también esta capacidad.

Threat Stack monitorea todas las capas de la pila de infraestructura nativa de la nube (desde la consola de administración de la nube, los hosts, el contenedor y la orquestación) en busca de comportamientos que indiquen que los atacantes han obtenido acceso a la infraestructura. Threat Stack proporciona entonces la capacidad de observación necesaria para que los clientes tomen de manera proactiva y rápida acciones específicas para remediar las amenazas a esta capa. Combinado con F5, los clientes pueden proteger sus aplicações modernizadas con una visión integral de las amenazas tanto a los niveles de aplicação como de infraestructura.

Cómo Threat Stack ayuda con las tuberías sucias

En el caso específico de Dirty Pipe, los clientes de Threat Stack se beneficiaron inmediatamente de Oversight , el monitoreo y la experiencia del Centro de Operaciones de Seguridad (SOC) 24/7/365 de Threat Stack. Al igual que con Log4j y Pwnkit, el equipo comenzó a buscar en toda la base de clientes indicios de tuberías sucias para determinar cómo podíamos ayudar mejor a nuestros clientes.

Después de ejecutar la búsqueda de amenazas e investigar fuentes de terceros expertas, determinamos que, al igual que con Log4j, Threat Stack detecta actividad posterior a la explotación específica de esta vulnerabilidad. Las reglas predeterminadas de Threat Stack están configuradas para observar y alertar sobre cualquier indicador de compromiso que muestre actividad de Dirty Pipe dentro del entorno de un cliente.

Seguimos haciendo un seguimiento de cómo Dirty Pipe podría afectar a nuestros clientes, de forma similar a lo que hacemos con Log4j, Pwnkit y otros. Pero la cuestión más importante aquí es que los ataques pueden ocurrir únicamente a nivel de infraestructura y, para mantener seguras las aplicações modernizadas, es necesario tener una visión de esos ataques. En Threat Stack y F5, estamos comprometidos a hacer exactamente eso.