El equipo de investigación de seguridad en la nube de la compañía anunció que se encontraron nuevas técnicas de ataque en los DSLs que ponen en riesgo la ciberseguridad de las organizaciones.

Tenable ha revelado que su equipo de investigación de seguridad en la nube ha descubierto nuevas técnicas de ataque en los Lenguajes Específicos de Dominio (DSLs, por sus siglas en inglés) utilizados en plataformas populares de Policy-as-Code (PaC) e Infrastructure-as-Code (IaC). Estas vulnerabilidades pueden resultar en identidades en la nube comprometidas, movimiento lateral y exfiltración de datos.

Infrastructure-as-Code (IaC) se ha convertido en la columna vertebral de las prácticas modernas de DevOps en la nube, y las herramientas de Policy-as-Code son clave para gobernar implementaciones sensibles y complejas. Los DSL’s suelen considerarse más seguros que los lenguajes de programación estándar debido a sus capacidades limitadas y su diseño endurecido. Sin embargo, estos marcos se asumen con frecuencia como seguros por defecto, dejando una puerta abierta para que los atacantes los exploten.

Aunque los DSLs, como los de Open Policy Agent (OPA) y Terraform de HashiCorp, están diseñados para ser seguros, los hallazgos de Tenable revelan configuraciones incorrectas específicas que los atacantes pueden manipular a través de componentes de terceros. 

“Las nuevas técnicas de ataque resaltan lo compleja que puede llegar a ser la seguridad en la nube. Las organizaciones en América Latina están cada vez más en riesgo, y debemos actuar proactivamente para ayudar a reducir la exposición a amenazas y proteger los entornos críticos en la nube”, expresó Alejandro Dutto, Director de Ingeniería de Seguridad para Tenable en América Latina y Caribe

Fuente :https://www.itwarelatam.com/