Investigadores españoles han demostrado en la recientemente celebrada convención de seguridad informática Defcon de Las Vegas cómo se pueden comprometer todos los servicios que una empresa tenga alojados en el proveedor francés OVH (uno de los más importantes de Europa).
En el curso de este evento, los investigadores mostraron como un atacante podría eliminar y acceder todos los datos que alojados (DNI, emails, infraestructura de la empresa, etc.) junto con su backup, secuestrar un dominio o darlo de baja.
La gravedad del fallo es crítica puesto que afecta a la visibilidad de las empresas en Internet y a todos los datos que se almacenan en este proveedor y, tal y como Luis Delgado (el descubridor de este fallo de seguridad) nos ha comentado, se han descubierto hasta tres 0-days mientras se analizaban los servicios webs de este proveedor.
En resumen, se puede acceder a información de otros usuarios a los que no deberíamos tener acceso, todo ello provocado por la existencia de un servicio interno a través del cual podemos sobrepasar las medidas de seguridad establecidas por defecto. A partir de ahí un atacante es capaz de realizar diversos ataques a la infraestructura de los servidores y a los datos que allí se alojan.
Delgado nos indica que, “a pesar de que nos esforcemos en asegurar nuestros datos o servicios, si el proveedor no cumple con unas medidas de seguridad adecuadas, estamos comprometidos y un atacante puede desconectarnos de Internet”.
Esta información, junto con todos los datos necesarios para ser explotada siguiendo la política de “full disclosure”, la ha hecho pública Luis Delgado acompañado de Chema Alonso en una charla Skytalk (las cuales no son grabadas) en la Defcon. Próximamente, y tras informar al proveedor OVH, Luis publicará más datos en el blog de seguridad Security by Default para que otros investigadores puedan analizarlo.