Todos los usuarios, incluidos aquellos con una cuenta de prueba gratuita, pudieron hasta hace poco obtener acceso con derechos root a todos los servidores del servicio Data Science Experience, de IBM. La información fue dada a conocer por el experto en tecnología Wayne Chang.
Según Chang, cada usuario tiene acceso al servicio mediante contenedores Docker individuales. Sin embargo, dentro de cada contenedor se había colocado la clave TLS privada, utilizada para proteger la API de Docker Swarm.
Con ello, utilizando esta clave todos los usuarios interesados no sólo tenían la posibilidad de leer y escribir en el servidor local y en todas las máquinas que paralelamente ejecutaban el contenedor, sino también tenían potencialmente acceso a terabits de datos propiedad de terceros, interfaces de redes, y todo tipo de aplicaciones ejecutadas en los servidores. Todo lo que se requería para aprovechar esta vulnerabilidad era acceso a una cuenta gratuita de pruebas, un navegador, y, naturalmente, los conocimientos suficientes para utilizar las claves y acceder a los datos protegidos por estas.
El problema ya ha sido resuelto por IBM, por lo que Chang ha decidido dar a conocer los detalles. Chang Explica que mediante Via RStudio Web Environment, que es ofrecido como parte de Data Science Experience, los interesados podían descargar el software compilado de Docker en versión Linux para X 64, luego descargarlo y ejecutar un comando que proporcionaría acceso root al servidor.
Chang Detectó el problema de seguridad del 31 de enero, notificando a IBM al día siguiente. La empresa respondió a Chang el 2 de febrero, y el día 14 anunció que el error de seguridad había sido resuelto. El 21 de febrero, IBM publicó un reconocimiento público que incluye a Wayne Chang.
Chang comenta que cuando detectó el error era posible ejecutar código aleatorio en los contenedores Docker, lo que le llamó sobremanera la atención. Luego, necesitó sólo media hora para explorar el sistema y encontrar las claves de seguridad. “Considero que IBM ya tiene un equipo fantástico con personal dedicado a la seguridad de sus sistemas, lo que se suma a un compromiso auténtico por proteger sus servicios. Se trata, creo yo, de desarrollar a través de toda la empresa una cultura y procesos de seguridad. Habiendo dicho lo anterior, toda empresa que ofrezca productos que permiten a los usuarios ejecutar código no verificado, debería pensar detenidamente en la arquitectura de sus sistemas”, comentó Chang a The Register.