Las aplicaciones de capacitación intencionalmente vulnerables se utilizan ampliamente para educación sobre seguridad, pruebas internas y demostraciones de productos. Herramientas como OWASP Juice Shop, DVWA, Hackazon y bWAPP están diseñadas para ser inseguras de forma predeterminada, lo que las hace útiles para aprender cómo funcionan las técnicas de ataque comunes en entornos controlados.
El problema no son las aplicaciones en sí, sino cómo se implementan y mantienen a menudo en entornos de nube del mundo real.
Pentera Labs examinó cómo se utilizan las aplicaciones de capacitación y demostración en las infraestructuras de la nube e identificó un patrón recurrente: las aplicaciones destinadas al uso en laboratorios aislados se encontraron con frecuencia expuestas a la Internet pública, ejecutándose dentro de cuentas activas de la nube y conectadas a identidades de la nube con un acceso más amplio del requerido.
Patrones de implementación observados en la investigación
Investigación de los laboratorios Pentera descubrió que estas aplicaciones a menudo se implementaban con configuraciones predeterminadas, aislamiento mínimo y roles de nube demasiado permisivos. La investigación descubrió que muchos de estos entornos de capacitación expuestos estaban conectados directamente a identidades de nube activas y roles privilegiados, lo que permitía a los atacantes ir mucho más allá de las aplicaciones vulnerables y potencialmente llegar a la infraestructura de nube más amplia del cliente.
En estos escenarios, una única aplicación de formación expuesta puede actuar como punto de apoyo inicial. Una vez que los atacantes pueden aprovechar las identidades de la nube conectadas y los roles privilegiados, ya no están limitados a la aplicación o al host original. En cambio, pueden obtener la capacidad de interactuar con otros recursos dentro del mismo entorno de nube, lo que aumenta significativamente el alcance y el impacto potencial del compromiso.
Como parte de la investigación, Pentera Labs verificó casi 2000 instancias de aplicaciones de capacitación expuestas y en vivocon cerca de 60% alojado en infraestructura administrada por el cliente que se ejecuta en AWS, Azure o GCP.
Evidencia de explotación activa
Los entornos de entrenamiento expuestos identificados durante la investigación no estaban simplemente mal configurados. Pentera Labs observó evidencia clara de que los atacantes estaban explotando activamente esta exposición en la naturaleza.
En todo el conjunto de datos más amplio de aplicaciones de capacitación expuestas, aproximadamente Se descubrió que el 20 % de las instancias contenían artefactos implementados por actores maliciosos.incluida la actividad de criptominería, webshells y mecanismos de persistencia. Estos artefactos indicaron un compromiso previo y un abuso continuo de los sistemas expuestos.
La presencia de herramientas activas de persistencia y criptominería demuestra que las aplicaciones de capacitación expuestas no solo son detectables sino que ya están siendo explotadas a escala.
Alcance del impacto
Los entornos expuestos y explotados identificados durante la investigación no se limitaron a sistemas de prueba pequeños o aislados. Pentera Labs observó este patrón de implementación en entornos de nube asociados con Organizaciones Fortune 500 y proveedores líderes de ciberseguridad, incluidos Palo Alto, F5 y Cloudflare.
Si bien los entornos individuales variaban, el patrón subyacente seguía siendo consistente: una aplicación de capacitación o demostración implementada sin suficiente aislamiento, accesible públicamente y conectada a identidades de nube privilegiadas.
Por qué esto importa
Los entornos de capacitación y demostración con frecuencia se tratan como activos temporales o de bajo riesgo. Como resultado, a menudo quedan excluidos de los procesos estándar de monitoreo de seguridad, revisiones de acceso y gestión del ciclo de vida. Con el tiempo, estos entornos pueden permanecer expuestos mucho después de que haya pasado su propósito original.
La investigación muestra que la explotación no requiere vulnerabilidades de día cero ni técnicas de ataque avanzadas. Las credenciales predeterminadas, las debilidades conocidas y la exposición pública fueron suficientes para convertir las aplicaciones de capacitación en un punto de entrada para un acceso más amplio a la nube.
Etiquetar un entorno como “entrenamiento” o “prueba” no reduce su riesgo. Cuando se exponen a Internet y se conectan a identidades de nube privilegiadas, estos sistemas se convierten en parte de la superficie de ataque eficaz de la organización.
Consulte el completo Blog de investigación de Pentera Labs & Únase a un seminario web en vivo el 12 de febrero para obtener más información sobre la metodología, el proceso de descubrimiento y la explotación en el mundo real observados durante esta investigación.
Este artículo fue escrito por Noam Yaffe, investigador senior de seguridad de Pentera Labs. Para preguntas o discusión, comuníquese con laboratorios@pentera.io