Reconocen la primer vulnerabilidad de una plataforma sin servidor

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

Esta es la primera vulnerabilidad divulgada públicamente en una plataforma sin servidor.

 

Los expertos de IBM (The International Business Machines Corporation) han solucionado una vulnerabilidad crítica en sus funciones en la nube que, de ser explotadas, permitirían a los hackers remotos maliciosos reemplazar el código sin servidor de la compañía por el suyo propio.

Una vez que los cambios entraron en vigor, los hackers pudieron extraer datos confidenciales de los clientes, incluyendo credenciales de inicio de sesión, números de tarjetas de crédito, eliminar o modificar datos, realizar ataques de denegación de servicio distribuidos (DDoS) e incluso usar el servidor para extraer criptomonedas.

La vulnerabilidad fue identificada e informada por investigadores de seguridad de TI en un proveedor israelí de seguridad.

La vulnerabilidad existía en Apache OpenWhisk, una plataforma en la nube de código abierto sin servidor utilizada por miles de empresas de renombre en todo el mundo, incluida IBM.

Un atacante puede lograr sobre escribir o modificar el código de la función sin servidor puede realizar otras acciones, como la filtración de datos confidenciales durante las ejecuciones posteriores, que pueden pertenecer a otros usuarios finales.

El seguimiento de CVE-2018-11756 y CVE-2018-11757, la vulnerabilidad es la primera divulgada públicamente en una plataforma sin servidor.

La buena noticia, sin embargo, es que no solo IBM ha corregido la vulnerabilidad antes de que pudiera ser explotada, investigadores también informaron al equipo de OpenWhisk con una solución sugerida, que mitiga el riesgo.

Como resultado, Apache también ha lanzado un parche, mientras que los investigadores sugieren que los usuarios de Apache Openwhisk deberían actualizar a la última versión de inmediato.

Tras recibir y validar los detalles sobre esta deficiencia, el equipo de Apache OpenWhisk revisó e introdujo una solución que mitiga el riesgo para los usuarios de OpenWhisk”, afirmó RODRIC RABBAH, el creador del proyecto Apache OpenWhisk.

“Nos gustaría agradecer a los investigadores, su contribución a la seguridad sin servidores ha ayudado a que la plataforma OpenWhisk sea más segura”.

 

 

Por Josep Verdura – Analista de Seguridad de Vintegris