Gli ambienti cloud e le architetture serverless continuano a rivoluzionare il modo in cui le aziende sviluppano e distribuiscono applicazioni, in virtù di scalabilità, flessibilità e riduzione dei costi. Come la maggior parte delle evoluzioni tecnologiche, anche questa apre nuovi fronti per gli attacchi cyber, come dimostrato dai recenti test offensivi condotti da Cisco Talos sulla Google Cloud Platform (GCP). I ricercatori hanno identificato un innovativo vettore d’attacco che sfrutta le vulnerabilità intrinseche delle funzioni serverless e ne hanno spiegato le caratteristiche per far comprendere la necessità di adottare strategie di sicurezza più sofisticate per gli ambienti multi-cloud e soprattutto negli ambienti serverless, che introducono complessità uniche fra cui, per esempio, permessi eccessivi e meccanismi di autenticazione fragili.

Lo sfruttamento delle funzioni serverless

Proprio sugli ambienti serverless si concentra la ricerca di Talos oggetto di questo articolo. I ricercatori hanno simulato un attacco basato sullo sfruttamento di funzioni serverless mal configurate per dimostrare come un attaccante possa compromettere un ambiente cloud sfruttando due elementi chiave: i privilegi eccessivi concessi alle funzioni serverless, che consentono azioni non autorizzate e i meccanismi di autenticazione deboli tra servizi cloud interconnessi, come per esempio l’uso di token non sufficientemente protetti.

L’impianto di test prevedeva un server Debian Linux all’interno di GCP, utilizzando Node.js per implementare funzioni serverless con autorizzazioni elevate. Gli attaccanti hanno sfruttato una catena di vulnerabilità grazie alla quale hanno ottenuto prima l’accesso a una funzione con privilegi amministrativi; grazie a questo hanno avuto accesso a risorse critiche come database o storage bucket. Un semplice approccio a due fasi che ha evidenziato come un singolo punto debole possa innescare una compromissione a cascata dell’intero ambiente.

L’esperimento di Talos è certamente una prova concettuale, ma obbliga a prendere coscienza del rischio cyber a cui sono esposte tutte le organizzazioni che utilizzano architetture serverless. In particolare, sono tre gli aspetti che devono preoccupare: la difficoltà di rilevamento, dovuta al fatto che le funzioni serverless sono effimere e generano log frammentati che ostacolano l’identificazione in tempo reale di attività sospette. In secondo luogo, è rilevante la scalabilità del danno: un attaccante che compromette una funzione con privilegi elevati può muoversi lateralmente e accedere a dati sensibili o interrompere servizi critici. Ultimo ma non meno importante, il fatto che la tendenza a distribuire carichi di lavoro su più piattaforme cloud aumenta il rischio di configurazioni inconsistenti, che amplificano le vulnerabilità.

Le raccomandazioni degli esperti

La ricerca di Talos offre spunti rilevanti per rafforzare la postura di sicurezza negli ambienti serverless. In particolare, gli esperti esortano a limitare i permessi delle funzioni cloud solo alle operazioni strettamente necessarie (il principio del privilegio minimo) per ridurre il rischio di movimenti laterali. Importante è anche implementare soluzioni di logging centralizzate e strumenti di anomaly detection basati su AI per identificare comportamenti anomali come per esempio richieste sospette o accessi non autorizzati. Il consigli includono poi l’uso di token temporanei e certificati digitali per l’interazione tra servizi cloud, al posto di chiavi statiche o credenziali embedded nel codice, e l’attuazione di audit regolari delle configurazioni, facendo uso di strumenti automatizzati per il cloud security posture management.