El equipo de investigación de seguridad en la nube de Tenable descubrió nuevas técnicas de ataque en los Lenguajes Específicos de Dominio (DSLs, por sus siglas en inglés) utilizados en plataformas populares de Policy-as-Code (PaC) e Infrastructure-as-Code (IaC). Estas vulnerabilidades pueden resultar en identidades en la nube comprometidas, movimiento lateral y exfiltración de datos.

Infrastructure-as-Code (IaC) se ha convertido en la columna vertebral de las prácticas modernas de DevOps en la nube, y las herramientas de Policy-as-Code son clave para gobernar implementaciones sensibles y complejas. Los DSL suelen considerarse más seguros que los lenguajes de programación estándar debido a sus capacidades limitadas y su diseño endurecido. Sin embargo, estos marcos se asumen con frecuencia como seguros por defecto, dejando una puerta abierta para que los atacantes los exploten.

¿Por qué es importante?
Aunque los DSLs, como los de Open Policy Agent (OPA) y Terraform de HashiCorp, están diseñados para ser seguros, los hallazgos de Tenable revelan configuraciones incorrectas específicas que los atacantes pueden manipular a través de componentes de terceros. Esto subraya la importancia de replantear las estrategias de seguridad en las implementaciones de PaC e IaC.

Escenarios de Ataque

OPA es un motor de políticas ampliamente utilizado para casos como la autorización de microservicios y políticas de infraestructura. Las políticas en OPA están escritas en Rego, un DSL declarativo de alto nivel con funciones integradas que, si se usan de manera maliciosa, pueden facilitar actividades maliciosas.

La investigación de Tenable descubrió cómo un atacante que compromete la cadena de suministro de políticas puede insertar políticas maliciosas en Rego, ejecutadas durante las evaluaciones de políticas, logrando objetivos como la filtración de credenciales y/o de datos.

Terraform ha sido una herramienta de IaC muy adoptada debido a su naturaleza declarativa, agnóstica de plataformas, soporte comunitario y componentes reutilizables. Sus configuraciones utilizan el Lenguaje de Configuración HashiCorp (HCL), otro DSL. Terraform admite componentes de terceros, como Módulos y Proveedores, que pueden compartirse a través del Registro de Terraform u otros registros públicos o privados.

Aunque estos componentes pueden mejorar la eficiencia y la seguridad cuando se usan adecuadamente, un uso descuidado introduce riesgos graves en la cadena de suministro.

Tenable descubrió que, cuando Terraform Plan está configurado para ejecutarse en un disparador de pull request en las canalizaciones CI/CD, los atacantes pueden lograr la ejecución de código no revisado, abriendo caminos furtivos para atacantes internos malintencionados o externos.

Recomendaciones de Tenable Research para mitigación

1. Implementar Control de Acceso Basado en Roles (RBAC): aplicar el principio de privilegio mínimo tanto para usuarios locales como para aquellos con acceso a través de API. Separar roles para las etapas Terraform Plan y Apply para evitar cambios no revisados en la infraestructura.
2. Verificar componentes de terceros: usar solo módulos, proveedores y políticas de fuentes confiables y verificar su integridad antes de la ejecución.
3. Habilitar registros exhaustivos: configurar registros a nivel de aplicación y nube para monitoreo y detección de anomalías.
4. Restringir acceso a redes y datos: utilizar el archivo capabilities.json de OPA para limitar conexiones salientes y evitar comunicaciones no autorizadas con servidores internos.
5. Escanear antes de planificar: incorporar escaneos de seguridad en la canalización CI/CD antes de la etapa terraform plan para prevenir la ejecución de código no revisado o malicioso.