El técnico que
detectó el error hizo una analogía con una prisión, donde se dejan las llaves
de acceso a una celda dentro de la misma.
Todos los
usuarios, incluidos aquellos con una cuenta de prueba gratuita, pudieron hasta
hace poco obtener acceso con derechos root a todos los servidores del servicio
Data Science Experience, de IBM. La información fue dada a conocer por el experto en tecnología
Wayne Chang.
Según Chang,
cada usuario tiene acceso al servicio
mediante contenedores Docker individuales. Sin embargo, dentro de cada
contenedor se había colocado la clave TLS privada, utilizada para proteger la
API de Docker Swarm.
Con ello, utilizando
esta clave todos los usuarios interesados no sólo tenían la posibilidad de leer
y escribir en el servidor local y en todas las máquinas que paralelamente
ejecutaban el contenedor, sino también
tenían potencialmente acceso a terabits de datos propiedad de terceros,
interfaces de redes, y todo tipo de aplicaciones ejecutadas en los servidores.
Todo lo que se requería para aprovechar
esta vulnerabilidad era acceso a una cuenta gratuita de pruebas, un
navegador, y, naturalmente, los conocimientos suficientes para utilizar las
claves y acceder a los datos protegidos por estas.
El problema ya
ha sido resuelto por IBM, por lo que Chang ha decidido dar a conocer los
detalles. Chang Explica que mediante Via RStudio Web Environment, que es
ofrecido como parte de Data Science Experience, los interesados podían
descargar el software compilado de Docker en versión Linux para X 64, luego
descargarlo y ejecutar un comando que proporcionaría acceso root al servidor.
Chang detectó el
problema de seguridad del 31 de enero, notificando a IBM al día siguiente. La
empresa respondió a Chang el 2 de febrero, y el día 14 anunció que el error de
seguridad había sido resuelto. El 21 de febrero, IBM publicó un reconocimiento
público que incluye a Wayne Chang.
Chang comenta
que cuando detectó el error era posible ejecutar código aleatorio en los
contenedores Docker, lo que le llamó sobremanera la atención. Luego, necesitó
sólo media hora para explorar el sistema y encontrar las claves de seguridad.
“Considero que IBM ya tiene un equipo fantástico con personal dedicado a la
seguridad de sus sistemas, lo que se
suma a un compromiso auténtico por proteger sus servicios. Se trata, creo yo,
de desarrollar a través de toda la empresa una cultura y procesos de seguridad.
Habiendo dicho lo anterior, toda empresa que ofrezca productos que permiten a
los usuarios ejecutar código no verificado, debería pensar detenidamente en la
arquitectura de sus sistemas”, comentó Chang a The Register.
Fuente: Diarioti.com