NoticiasSeguridad

Deconstruyendo el ciberataque a Uber

El equipo de CyberArk Red Team analiza el ciberataque a Uber.

Deconstruyendo el ciberataque a Uber.
Deconstruyendo el ciberataque a Uber.

Después de conocerse el ciberataque sufrido por Uber a su infraestructura de TI y el acceso a datos confidenciales de sus clientes, el elemento humano de esta historia está cobrando fuerza, por lo que las miradas se centran en la autenticación multifactor (MFA) y otros problemas de mejores prácticas de la seguridad de las dentidades. Por ello, a medida que se conocen más detalles de la historia surgen más preguntas. Porque una vez asumido este ataque por parte de Uber, lo que lo hace tan notorio es lo que sucedió después.   

En base al análisis y los informes disponibles, CyberArk Red Team ha deconstruido el ataque a Uber con un enfoque en las credenciales “hardcodeadas”, el verdadero punto crítico del ataque, ya que supuestamente se usaron para obtener acceso administrativo a la gestión de acceso privilegiado de la organización (PAM), proporcionada por otro proveedor, lo que desbloqueó otros accesos de alto riesgo. 

Gran parte del análisis del ataque cibernético a Uber se ha centrado en la ingeniería social y múltiples vectores de ataque MFA, pero el verdadero punto de inflexión para el ataque ocurrió después del acceso inicial. “La presencia de credenciales embebidas en un recurso compartido de red mal configurado es fundamental para deconstruir este ataque. Fueron las credenciales de acceso a una solución PAM integrada en el script de PowerShell lo que permitió al atacante obtener acceso de alto nivel, escalar privilegios y acceder a los sistemas de TI de Uber. La protección proactiva se basa en la implementación de múltiples capas de seguridad, pero a medida que este ataque se refuerza, la lección más importante es asumir una brecha de seguridad”, ha contado Shay Nahari, VP, Red-Team Services de CyberArk.

Fuente: CiberArk.
Fuente: CiberArk.

Deconstruyendo el ataque de Uber, paso a paso 

Fase 1: Acceso Inicial. El atacante penetró en el entorno de TI de Uber al obtener acceso a las credenciales de la infraestructura VPN de la compañía. 

Fase 2: Descubrimiento. Lo más probable es que el proveedor no tuviera privilegios especiales o elevados para recursos confidenciales, pero sí tenía acceso a una unidad red compartida, al igual que otros trabajadores de Uber. Este recurso compartido de red estaba abierto o mal configurado para permitir una ACL (lista de control de acceso) de lectura amplia. Dentro del recurso compartido de red, el atacante descubrió un script de PowerShell que contenía credenciales privilegiadas embebidas para la solución PAM de Uber.  

En la brecha de Uber, las credenciales “hardcodeadas” otorgaron acceso administrativo a una solución de administración de acceso privilegiado. Además, parece que estas credenciales no se habían cambiado desde hacía tiempo, por lo que eran mucho más fáciles de explotar. 

Fase 3: Escalado de Privilegios, acceder al Sistema PAM. Al recopilar las credenciales de administrador para la solución de administración de acceso privilegiado, el atacante pudo escalar aún más los privilegios.  

Fase 4: Acceder a los secretos del sistema PAM, llegar a los sistemas críticos de la empresa. Según la última actualización de Uber, el atacante obtuvo permisos elevados para varias herramientas. Al acceder a los secretos de la solución de administración de acceso privilegiado, el atacante, supuestamente, comprometió el acceso al SSO y las consolas, así como a la consola de administración en la nube donde Uber almacena datos confidenciales (financieros y de sus clientes).  

Fase 5: Exfiltración de datos. Uber sigue investigando el incidente, pero ha confirmado que el atacante “descargó algunos mensajes internos de Slack y accedió o descargó información de una herramienta interna que nuestro equipo de finanzas usa para gestionar algunas facturas”.  

 

 

Computing 818

Tu privacidad es importante para nosotros

Utilizamos cookies propias y de terceros para analizar nuestros servicios con fines analíticos, para mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación y para incorporar funcionalidades de redes sociales. Puedes obtener más información sobre cookies en nuestra Política de Cookies. Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas pulsando el botón “Configurar”.

x

Panel de gestión de cookies

✓ Permitir todas las cookies
✗ Denegar todas las cookies
Estas cookies son necesarias para que el sitio web funcione y no se pueden desactivar en nuestros sistemas. Usualmente están configuradas para responder a acciones hechas por usted para recibir servicios, tales como ajustar sus preferencias de privacidad, iniciar sesión en el sitio, o llenar formularios. Usted puede configurar su navegador para bloquear o alertar la presencia de estas cookies, pero algunas partes del sitio web no funcionarán. Estas cookies no guardan ninguna información personal identificable.

Cookies técnicas

✓ Permitir
✗ Denegar
Las cookies estadísticas nos permiten contar las visitas y fuentes de circulación para poder medir y mejorar el desempeño de nuestro sitio. Nos ayudan a saber qué páginas son las más o menos populares, y ver cuántas personas visitan el sitio.

Google Analytics

Ver sitio oficial
✓ Permitir
✗ Denegar
Estas cookies permiten que el sitio ofrezca una mejor funcionalidad y personalización. Pueden ser establecidas por nosotros o por terceras partes cuyos servicios hemos agregado a nuestras páginas. Si no permites estas cookies algunos de nuestros servicios no funcionarán correctamente.
✓ Permitir
✗ Denegar
Estas cookies pueden ser añadidas a nuestro sitio por nuestros socios de publicidad/medios sociales. No almacenan directamente información personal, sino que se basan en la identificación única de tu navegador y dispositivo de Internet para ofrecerle compartir contenido en los medios sociales o para mostrarte contenido o anuncios relevantes en nuestro sitio web u otras plataformas.
✓ Permitir
✗ Denegar
✓ Permitir
✗ Denegar