A Tenable revelou que sua equipe de pesquisa em segurança na nuvem descobriu novas técnicas de ataque em Linguagens Específicas de Domínio (DSLs, na sigla em inglês) utilizadas em plataformas populares de Policy-as-Code (PaC) e Infrastructure-as-Code (IaC). Essas vulnerabilidades podem resultar em identidades na nuvem comprometidas, movimentação lateral (movimentos dentro da rede invadida) e exfiltração de dados.
O Infrastructure-as-Code (IaC) tornou-se a espinha dorsal das práticas modernas de DevOps na nuvem e as ferramentas de Policy-as-Code são fundamentais para gerenciar implementações sensíveis e complexas. As linguagens de DSL’s são frequentemente consideradas mais seguras do que as linguagens de programação padrão devido às suas capacidades limitadas e design robusto. No entanto, esses frameworks são frequentemente assumidos como seguros por padrão, deixando uma porta aberta para que atacantes os explorem.
Embora as DSLs, como os utilizados no Open Policy Agent (OPA) e no Terraform da HashiCorp, sejam projetadas para serem seguras, os achados da Tenable revelam configurações erradas específicas que os atacantes podem manipular por meio de componentes de terceiros. Isso destaca a importância de repensar estratégias de segurança nas implementações de PaC e IaC.
Este anúncio segue a recente identificação de uma vulnerabilidade de força de autenticação SMB no Open Policy Agent (OPA). “Essas novas técnicas de ataque destacam o quão complexa a segurança na nuvem pode ser. As organizações na América Latina estão cada vez mais em risco e precisamos agir proativamente para reduzir a exposição a ameaças e a proteger ambientes críticos na nuvem”, afirma Alejandro Dutto, diretor de engenharia de Segurança da Tenable para América Latina e Caribe.
Cenários de Ataque
Open Policy Agent (OPA): O OPA é um motor de políticas amplamente utilizado para casos como autorização de microsserviços e políticas de infraestrutura. As políticas no OPA são escritas em Rego, uma DSL declarativa de alto nível com funções integradas que, quando mal utilizadas, podem facilitar atividades maliciosas.
A pesquisa da Tenable descobriu como um atacante que compromete a cadeia de suprimentos de políticas pode inserir políticas maliciosas em Rego, executadas durante avaliações, alcançando objetivos como a exfiltração de credenciais ou vazamento de dados.
Terraform: O Terraform tem sido uma ferramenta amplamente adotada de IaC devido à sua natureza declarativa, agnóstica de plataforma, suporte comunitário e componentes reutilizáveis. Suas configurações utilizam a Linguagem de Configuração da HashiCorp (HCL), outra DSL. O Terraform suporta componentes de terceiros como Módulos e Provedores, que podem ser compartilhados por meio do Registro Terraform ou outros registros públicos ou privados.
Embora esses componentes possam melhorar a eficiência e a segurança quando usados corretamente, o uso descuidado introduz riscos graves na cadeia de suprimentos. A Tenable descobriu que, quando o Terraform Plan está configurado para ser executado em um gatilho de pull request nas pipelines de CI/CD, os atacantes podem executar código não revisado, abrindo caminhos furtivos para agentes mal-intencionados internos ou externos.
Recomendações para mitigação
Implementar controle de acesso baseado em funções (RBAC): Aplique o princípio do menor privilégio para usuários locais e aqueles com acesso via API. Separe as funções para as etapas Terraform Plan e Apply para evitar alterações não revisadas na infraestrutura.
Verificar componentes de terceiros: Use apenas módulos, provedores e políticas de fontes confiáveis e verifique sua integridade antes da execução.
Habilitar logs abrangentes: Configure registros ao nível de aplicativo e nuvem para monitoramento e detecção de anomalias.
Restringir acesso à rede e dados: Utilize o arquivo capabilities.json do OPA para limitar conexões de saída e evitar comunicações não autorizadas com servidores internos.
Escanear antes de planejar: Incorpore verificações de segurança no pipeline CI/CD antes da etapa terraform plan para evitar a execução de código não revisado ou malicioso.
