Explotacion de CVEs en la nube - (Log4Shell)
AnteriorLaboratorios desplegables para practicar hacking en AWSSiguientePassExistingRoleToCloudFormation
Última actualización
¿Te fue útil?
Última actualización
¿Te fue útil?
¿Crees tener lo que se necesita para ser un experto en Pentesting contra AWS? Si nuestro libro te abrió los ojos a las posibilidades de la ciberseguridad ofensiva o si ya cuentas con habilidades en este campo, es momento de subir de nivel. Te retamos a certificarte en el . No será fácil: te enfrentarás a un examen riguroso de 12 horas donde deberás hackear una infraestructura completa alojada en AWS. ¿Listo para el desafío? Acepta el reto y demuestra tu verdadero potencial.
En el presente video, estaremos aprendiendo como un atacante podría comprometer TODA una infraestructura de AWS por medio de la explotacion de la vulnerabilidad llamada Log4Shell. En pocas palabras, hemos desplegado un laboratorio vulnerable a Log4Shell dentro de un docker en una instancia de EC2 (AWS) y estaremos realizando el ataque desde una maquina virtual de AZURE. Y luego de obtener acceso al servidor vulnerable, se estara realizando diferentes consumos hacia el servicio de metadatos de una instancia con el objetivo de comprometer las credenciales de acceso a la infraestructura de AWS. Tambien, estaremos mostrando como identificar estos problemas de seguridad por medio de AWS GuardDuty.
Log4j es una librería de código abierto (open source) creada por Apache Software Foundation.
Log4Shell (CVE-2021-44228) consiste en una vulnerabilidad de ejecución remota de código (RCE, por sus siglas en inglés) que permite a un atacante ejecutar el código de su elección en un servidor afectado.