Después de conocerse el ciberataque sufrido por Uber a su infraestructura de TI y el acceso a datos confidenciales de sus clientes, el elemento humano de esta historia está cobrando fuerza, por lo que las miradas se centran en la autenticación multifactor (MFA) y otros problemas de mejores prácticas de la seguridad de las dentidades. Por ello, a medida que se conocen más detalles de la historia surgen más preguntas. Porque una vez asumido este ataque por parte de Uber, lo que lo hace tan notorio es lo que sucedió después.
En base al análisis y los informes disponibles, CyberArk Red Team ha deconstruido el ataque a Uber con un enfoque en las credenciales “hardcodeadas”, el verdadero punto crítico del ataque, ya que supuestamente se usaron para obtener acceso administrativo a la gestión de acceso privilegiado de la organización (PAM), proporcionada por otro proveedor, lo que desbloqueó otros accesos de alto riesgo.
Gran parte del análisis del ataque cibernético a Uber se ha centrado en la ingeniería social y múltiples vectores de ataque MFA, pero el verdadero punto de inflexión para el ataque ocurrió después del acceso inicial. “La presencia de credenciales embebidas en un recurso compartido de red mal configurado es fundamental para deconstruir este ataque. Fueron las credenciales de acceso a una solución PAM integrada en el script de PowerShell lo que permitió al atacante obtener acceso de alto nivel, escalar privilegios y acceder a los sistemas de TI de Uber. La protección proactiva se basa en la implementación de múltiples capas de seguridad, pero a medida que este ataque se refuerza, la lección más importante es asumir una brecha de seguridad”, ha contado Shay Nahari, VP, Red-Team Services de CyberArk.
Deconstruyendo el ataque de Uber, paso a paso
Fase 1: Acceso Inicial. El atacante penetró en el entorno de TI de Uber al obtener acceso a las credenciales de la infraestructura VPN de la compañía.
Fase 2: Descubrimiento. Lo más probable es que el proveedor no tuviera privilegios especiales o elevados para recursos confidenciales, pero sí tenía acceso a una unidad red compartida, al igual que otros trabajadores de Uber. Este recurso compartido de red estaba abierto o mal configurado para permitir una ACL (lista de control de acceso) de lectura amplia. Dentro del recurso compartido de red, el atacante descubrió un script de PowerShell que contenía credenciales privilegiadas embebidas para la solución PAM de Uber.
En la brecha de Uber, las credenciales “hardcodeadas” otorgaron acceso administrativo a una solución de administración de acceso privilegiado. Además, parece que estas credenciales no se habían cambiado desde hacía tiempo, por lo que eran mucho más fáciles de explotar.
Fase 3: Escalado de Privilegios, acceder al Sistema PAM. Al recopilar las credenciales de administrador para la solución de administración de acceso privilegiado, el atacante pudo escalar aún más los privilegios.
Fase 4: Acceder a los secretos del sistema PAM, llegar a los sistemas críticos de la empresa. Según la última actualización de Uber, el atacante obtuvo permisos elevados para varias herramientas. Al acceder a los secretos de la solución de administración de acceso privilegiado, el atacante, supuestamente, comprometió el acceso al SSO y las consolas, así como a la consola de administración en la nube donde Uber almacena datos confidenciales (financieros y de sus clientes).
Fase 5: Exfiltración de datos. Uber sigue investigando el incidente, pero ha confirmado que el atacante “descargó algunos mensajes internos de Slack y accedió o descargó información de una herramienta interna que nuestro equipo de finanzas usa para gestionar algunas facturas”.