DevSecOps: into the unknown - Jesus Alcalde & Daniel González [RootedCON2020-EN]

DevSecOps: into the unknown

La Seguridad perimetral ha sido siempre uno de los principales objetivos de las organizaciones, definiendo requisitos y supervisando el correcto bastionado de los servidores, aplicaciones y sistemas, para reducir la superficie de ataque. Sin embargo, los entornos de desarrollo, radicionalmente autogestionados y sin supervisión, se están convirtiendo hoy en día en uno de los entornos menos controlados y más vulnerables dentro de las organizaciones, en especial con la implantación de la metodología DevOps, que introduce nuevas herramientas y vectores de ataque.

Esto mismo se demostró en la charla impartida en la anterior edición del congreso “DevSecOps y la
caída de Babilonia”, donde se enumeraron varias vulnerabilidades críticas presentes en versiones
recientes de Jenkins.

Durante este año, se ha querido ampliar el alcance de la investigación, definiendo y desarrollando una
suite de herramientas automáticas de reconocimiento y explotación de vulnerabilidades en entornos
de DevOps, cubriendo la falta actual de un framework de este tipo que facilite la detección de fallos
de seguridad en estos sistemas, y permita automatizar los ejercicios de tests de intrusión. Esta suite se publicará bajo licencia Open Source, abierta a la comunidad hacker, pero durante la charla se hará
en exclusiva una demostración en vivo de su funcionamiento.

Además, se presentarán nuevas vulnerabilidades detectadas durante la fase de investigación y
desarrollo. Actualmente, se está trabajando en el reporte de un nuevo CVE que podría ser publicado
a principios de este nuevo año.

Jesús Alcalde Alcázar
Daniel González