Nokia dejó su entorno de nube abierto

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Nokia luego dijo que era un campo de pruebas, lo que generó dudas en su declaración.

 

Varias bases de datos internas, contraseñas y claves de acceso secretas a los sistemas internos de Nokia se dejaron desatendidas en un servidor con fugas, etc.

Las credenciales incluyeron las contraseñas de usuario y administrador de Heketi, una contraseña de Redis, una contraseña de Weave, una clave de cifrada secreta de k8s, una clave privada de usuario de Gluster, claves privadas de SSH y RSA, una clave de clúster, claves secretas de AWS S3 y un par de otras.

Además, un servidor de registro se estaba ejecutando en otro puerto con la misma IP que no tenía habilitada la autenticación.

Se identificaron los datos durante la auditoría regular de seguridad de Shodan el 13 de diciembre.

Tras este descubrimiento, los investigadores se contactaron de inmediato con el equipo de seguridad de Nokia a través de nuestro formulario especialmente diseñado de «Información responsable» en su sitio web.

No hubo respuesta durante más de 24 horas. Finalmente, el lunes 17 de diciembre, los datos fueron desconectados y el sistema totalmente seguro, con una confirmación enviada en nombre del equipo de seguridad de Nokia. La compañía declaró que era un entorno de prueba:

“Este servidor de AWS en particular fue creado hace algún tiempo por uno de nuestros desarrolladores para realizar pruebas. Podemos confirmar que el servidor no contiene información confidencial. Dicho esto, usaremos este episodio para la capacitación de concienciación de los empleados de Nokia R&D”.

Aunque no se sabe si los datos de los clientes se pusieron en riesgo (ya que los sistemas observados eran en su mayoría de naturaleza industrial), todavía existe un gran peligro de que estas credenciales se expongan en un servidor público en línea no protegido, indexado por un motor de búsqueda de IoT.

Al final del día, no podemos estar 100% seguros de que se trata de datos de prueba, dada la naturaleza del entorno observado y la cantidad de contraseñas expuestas. También es importante tener en cuenta que nadie intentó usar credenciales contra los servicios.

En marzo de este año, se informó que se habían visto en línea más de 2,000 fugas, etc. Este número parece haberse mantenido en el mismo nivel (2.519 instancias indexadas por Shodan a partir de diciembre de 2018).

 

 

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris