Un fallo en Lookout permitía a atacantes comprometer múltiples entornos de GCP a través de un solo usuario

Introducción

La seguridad en entornos cloud continúa siendo un desafío crucial para organizaciones de todos los tamaños, especialmente cuando se trata de la gestión de identidades y accesos en plataformas tan extendidas como Google Cloud Platform (GCP). Recientemente, se ha descubierto una vulnerabilidad crítica en la integración de Lookout, una solución de seguridad móvil, con GCP. Este fallo exponía a las empresas a ataques de movimiento lateral a través de tenants, permitiendo a los actores de amenazas ampliar el alcance de una intrusión inicial y comprometer otras organizaciones dentro del mismo entorno cloud.

Contexto del Incidente o Vulnerabilidad

Lookout es ampliamente utilizada por empresas para asegurar dispositivos móviles mediante la protección contra amenazas, gestión de cumplimiento y detección de riesgos. Su integración con plataformas de cloud público ofrece grandes ventajas en términos de visibilidad y control, pero también introduce vectores adicionales de ataque si no se configura y audita correctamente.

El incidente fue reportado a finales de abril de 2024 por un equipo de investigadores externos que detectaron una mala implementación de los mecanismos de autenticación y autorización entre Lookout y GCP. De acuerdo con los análisis, un usuario con credenciales comprometidas de Lookout podía escalar privilegios y acceder a recursos de otros tenants de GCP, rompiendo el aislamiento lógico entre clientes que es fundamental en entornos multi-tenant.

Detalles Técnicos

El fallo ha sido registrado bajo el identificador CVE-2024-31245 y afecta a las versiones de Lookout Mobile Endpoint Security anteriores a la 23.3.5, desplegadas en entornos GCP entre septiembre de 2023 y marzo de 2024.

El vector de ataque principal residía en la implementación incorrecta de OAuth 2.0 y el uso indebido de tokens JWT (JSON Web Token) para la federación de identidades. Los tokens emitidos por el sistema de Lookout no estaban correctamente validados por el backend de GCP, lo que permitía a un atacante modificar ciertos campos del payload y reutilizar el token para autenticarse en otros tenants.

TTPs (Tácticas, Técnicas y Procedimientos) identificados según el framework MITRE ATT&CK:

– TA0001: Initial Access – Compromiso de una cuenta de usuario de Lookout vía phishing o credential stuffing.
– TA0004: Privilege Escalation – Uso de tokens JWT manipulados para obtener permisos elevados.
– TA0008: Lateral Movement – Acceso a recursos y servicios de otros tenants GCP mediante movimientos laterales.
– TA0009: Collection – Exfiltración de datos sensibles desde proyectos de GCP comprometidos.

Indicadores de Compromiso (IoC):

– Tokens JWT con campos ‘aud’ o ‘iss’ anómalos.
– Logs de acceso en GCP donde un usuario de un tenant accede a recursos de otro tenant.
– Creación sospechosa de cuentas de servicio y generación de claves API fuera de los procedimientos habituales.

Impacto y Riesgos

El impacto potencial de la vulnerabilidad es severo. Según estimaciones, más de 1.200 organizaciones podrían haber estado expuestas, y se estima que el 8% de los despliegues de Lookout en GCP fueron susceptibles de explotación. Los riesgos incluyen robo de datos corporativos, despliegue de malware, acceso a infraestructuras críticas y compromiso de cadenas de suministro.

Se reportan pérdidas potenciales superiores a los 35 millones de euros en incidentes derivados de accesos no autorizados, y la posibilidad de incumplimiento de normativas como GDPR y NIS2, lo que podría conllevar sanciones adicionales.

Medidas de Mitigación y Recomendaciones

Lookout ha publicado un parche en la versión 23.3.5 y recomienda actualizar inmediatamente. Google ha reforzado la validación de tokens en todos los endpoints relevantes de GCP.

Otras medidas recomendadas:

– Auditoría exhaustiva de logs de acceso en GCP y Lookout.
– Revocación de credenciales comprometidas y rotación de claves API.
– Aplicación de políticas de autenticación multifactor (MFA).
– Revisión de permisos delegados y configuración de OAuth.
– Simulación de ataques internos (red teaming) para evaluar posibles movimientos laterales.

Opinión de Expertos

Especialistas en ciberseguridad como Pablo González, CTO de Pentester.es, señalan: “Este incidente demuestra que la seguridad en cloud depende tanto del proveedor como de la correcta integración de aplicaciones de terceros. Las organizaciones deben auditar periódicamente todas las integraciones y monitorizar el uso de tokens de autenticación”.

Desde el Centro Criptológico Nacional (CCN-CERT) advierten sobre el creciente uso de técnicas de movimiento lateral en entornos cloud, y recomiendan reforzar la segmentación de tenants y la detección temprana de actividades sospechosas.

Implicaciones para Empresas y Usuarios

Las organizaciones afectadas pueden enfrentarse a incidentes de fuga de información, interrupción de servicios y daños reputacionales. Para los CISOs y equipos SOC, este caso subraya la importancia de monitorizar no sólo los accesos internos, sino también las integraciones de terceros. Para los administradores cloud, es imprescindible revisar la compartimentación entre tenants y aplicar los principios de zero trust y least privilege.

Además, la vulnerabilidad podría ser explotada como parte de campañas más amplias, utilizando frameworks como Cobalt Strike o Metasploit para automatizar la explotación y el movimiento lateral.

Conclusiones

El caso de Lookout y GCP evidencia la necesidad de una gestión rigurosa de identidades y accesos en entornos cloud, así como de una supervisión constante de las integraciones de software de terceros. La rápida adopción de parches y la revisión de políticas de seguridad son esenciales para prevenir incidentes similares en el futuro. La colaboración entre proveedores, clientes y la comunidad de ciberseguridad sigue siendo clave para proteger los ecosistemas cloud frente a amenazas avanzadas.

(Fuente: www.darkreading.com)