Leaked Credentials

La filtración de credenciales, especialmente en entornos de nube como AWS, es un riesgo de seguridad significativo que puede tener consecuencias devastadoras. Un escenario común de este tipo de incidente ocurre cuando un desarrollador o arquitecto accidentalmente deja expuestas credenciales de acceso programático, como claves de acceso AWS Access Key ID y AWS Secret Access Key, en repositorios públicos (por ejemplo, GitHub) o foros en línea.

Impacto de las Credenciales Filtradas en AWS

Las implicaciones de las credenciales filtradas son amplias y pueden incluir:

Acceso no Autorizado: Los atacantes pueden utilizar las credenciales expuestas para obtener acceso no autorizado a los recursos de AWS de la organización, permitiéndoles leer, modificar o eliminar datos almacenados en servicios como Amazon S3, ejecutar instancias de Amazon EC2, o realizar cambios en las políticas de seguridad.
Movimiento Lateral: Con el acceso inicial a la cuenta de AWS, los atacantes pueden intentar escalar privilegios o moverse lateralmente dentro de la infraestructura para comprometer recursos adicionales o acceder a datos más sensibles.
Exfiltración de Datos: La exfiltración de datos confidenciales o privados puede llevar a violaciones de la privacidad, pérdida de propiedad intelectual y daño a la reputación de la empresa.
Fraude y Abuso de Recursos: Las credenciales comprometidas pueden ser utilizadas para desplegar infraestructura en AWS a expensas de la víctima, a menudo para alojar sitios web maliciosos, lanzar ataques DDoS o minar criptomonedas.

Medidas de Prevención y Respuesta

Para mitigar el riesgo de credenciales filtradas y gestionar eficazmente los incidentes:

Revisión y Monitoreo de Repositorios: Utilizar herramientas de escaneo para identificar y remediar credenciales expuestas en repositorios de código y configuraciones. GitHub, por ejemplo, ofrece alertas de seguridad para credenciales expuestas.
Educación y Políticas de Seguridad: Formar a los desarrolladores y otros miembros del equipo sobre la importancia de manejar las credenciales de forma segura, incluyendo el uso de variables de entorno y secretos cifrados, en lugar de hardcoding en el código fuente.
Rotación de Credenciales: En caso de sospecha de una filtración, es crucial rotar inmediatamente las credenciales comprometidas para cortar el acceso no autorizado.
Principio de Menor Privilegio: Asignar permisos basados en el rol y la necesidad mínima de acceso para limitar lo que un atacante puede hacer si logra obtener acceso a través de credenciales filtradas.
Uso de AWS IAM Roles y Identity Federation: Evitar el uso de credenciales estáticas donde sea posible, prefiriendo roles IAM para EC2 y la federación de identidades para el acceso programático.
Auditoría y Alertas con AWS CloudTrail y Amazon GuardDuty: Implementar políticas de detección para identificar el uso inusual de las credenciales y responder rápidamente.

Herramientas para detectar leaks en repositorios de Git

GitHub - zricethezav/gitleaks: Scan git repos (or files) for secrets using regex and entropy 🔑GitHub

Para utilizar GitLeaks, simplemente lo descargamos de los releases y realizamos lo siguiente:

mv gitleaks-linux-amd64 gitleaks
chmod +x gitleaks
sudo mv gitleaks /usr/local/bin/
gitleaks detect -v

Link para probar las capacidades de GitLeaks:

GitHub - zricethezav/gronit: Cron monitoring written in GoGitHub

AnteriorGaining AWS Console Access via API Keys - aws_consoler SiguienteUsing Modern Malware

Última actualización hace 5 meses