Un equipo de investigadores de watchTowr Labs ha identificado una alarmante vulnerabilidad que podría haber permitido ataques masivos a la cadena de suministro tecnológica. Según su informe, tras analizar más de 150 buckets de Amazon S3 abandonados, pero previamente utilizados en software comercial, infraestructura gubernamental y pipelines de actualización, descubrieron que estos recursos seguían recibiendo tráfico significativo, lo que evidenciaba el riesgo de explotación por parte de actores maliciosos.
En un periodo de dos meses, los investigadores registraron estos buckets y captaron más de 8 millones de solicitudes HTTP destinadas a obtener recursos como binarios precompilados para Windows, Linux y macOS, actualizaciones de software, imágenes de máquinas virtuales, archivos JavaScript, configuraciones de servidores SSLVPN y plantillas de CloudFormation. Este hallazgo demuestra cómo el descuido en la gestión de infraestructuras críticas puede abrir la puerta a ataques masivos, posiblemente incluso más devastadores que el famoso ataque a la cadena de suministro de SolarWinds en 2020.
El riesgo del abandono de infraestructuras críticas
El problema radica en que muchas empresas y organismos gubernamentales utilizan buckets de S3 para almacenar y distribuir software y actualizaciones. Sin embargo, cuando estas infraestructuras quedan obsoletas o son reemplazadas, a menudo se olvidan sin un adecuado cierre o eliminación. Esto permite que terceros puedan reclamarlos y utilizarlos de manera indebida.
Los investigadores de watchTowr Labs destacan que esta vulnerabilidad podría ser explotada para distribuir malware disfrazado de actualizaciones legítimas, interceptar datos sensibles o realizar ataques dirigidos contra infraestructuras críticas. De hecho, en el caso del ataque a SolarWinds, los atacantes lograron insertar código malicioso en una actualización de software legítima, comprometiendo miles de organizaciones a nivel global. La investigación sugiere que un escenario similar podría ser replicado a una escala aún mayor mediante el uso de estos buckets abandonados.
Un análisis del origen de las solicitudes mostró que provenían de redes gubernamentales en Estados Unidos, Reino Unido, Australia, Corea del Sur y otros países, así como de redes militares, compañías incluidas en la lista Fortune 100 y Fortune 500, un importante proveedor de soluciones industriales, una red de tarjetas de pago, bancos, universidades, empresas de mensajería, casinos e incluso firmas de ciberseguridad.
Los investigadores de WatchTowr afirmaron que, de haber caído en manos equivocadas, este hallazgo podría haber permitido ataques a la cadena de suministro a una escala sin precedentes, superando cualquier incidente conocido hasta la fecha, incluyendo el ataque de SolarWinds perpetrado por el grupo Cozy Bear.
Llamado a la acción para mejorar la seguridad
El estudio subraya la importancia de realizar auditorías de seguridad periódicas para identificar y eliminar activos abandonados que puedan ser reapropiados por actores malintencionados. Además, se recomienda la implementación de prácticas de gestión del ciclo de vida de los datos en la nube, como el uso de controles de acceso estrictos y la eliminación segura de recursos obsoletos.
“Este descubrimiento debería servir como una llamada de atención para todas las organizaciones que utilizan servicios en la nube. El simple hecho de olvidar o descuidar un bucket de almacenamiento puede desencadenar una crisis de ciberseguridad a gran escala”, señalaron los autores del informe.
El incidente refuerza la necesidad de mantener una supervisión activa sobre los activos digitales y resalta los peligros de dejar infraestructura clave sin protección. A medida que las amenazas a la ciberseguridad evolucionan, es imprescindible que las empresas adopten estrategias más rigurosas para proteger sus cadenas de suministro digitales.
Para mitigar esta amenaza, WatchTowr trabajó en conjunto con AWS y agencias gubernamentales de EE.UU. y Reino Unido con el fin de tomar el control de los buckets abandonados y evitar su posible abuso. En el pasado, la empresa también logró interceptar más de 4.000 puertas traseras creadas por ciberdelincuentes al registrar infraestructuras abandonadas, e incluso llegó a obtener el control administrativo del dominio .mobi con una inversión mínima.
