保護DataHogo
Enciclopedia de Seguridad/Seguridad en Cloud Providers
mediumCWE-284OWASP A05:2021

VPC / Reglas de Security Group Faltantes

Tus recursos cloud están desplegados sin una VPC o con security groups que permiten tráfico entrante sin restricciones (0.0.0.0/0), exponiendo servicios internos a internet.

Cómo Funciona

Una VPC es tu red privada en la nube. Los security groups actúan como firewalls stateful para tus recursos. Sin ellos, o con reglas excesivamente permisivas, cada servicio que deploys es potencialmente accesible desde el internet público. Un security group que permite 0.0.0.0/0 en el puerto 22 (SSH) o el puerto 3306 (MySQL) le da a cada escáner de internet una línea directa a esos servicios.

Código Vulnerable
# MAL: security group permitiendo todo el tráfico entrante en todos los puertos (Terraform)
resource "aws_security_group" "web" {
  ingress {
    from_port   = 0
    to_port     = 65535
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]  // todos los puertos abiertos a internet
  }
}
Código Seguro
# BIEN: permite solo HTTP/HTTPS desde internet, SSH solo desde IP de admin
resource "aws_security_group" "web" {
  ingress {
    from_port   = 443
    to_port     = 443
    protocol    = "tcp"
    cidr_blocks = ["0.0.0.0/0"]  // HTTPS está bien ser público
  }
  ingress {
    from_port   = 22
    to_port     = 22
    protocol    = "tcp"
    cidr_blocks = ["TU_IP_OFICINA/32"]  // SSH solo desde IP conocida
  }
}

Ejemplo Real

AWS publica sus malas configuraciones más comunes anualmente. Los security groups con 0.0.0.0/0 en puertos sensibles consistentemente están en el top 5. En 2023, una startup fintech tenía todo su cluster de Kubernetes accesible desde internet debido a un security group de nodo mal configurado — descubierto durante un escaneo rutinario de Data Hogo.

Cómo Prevenirlo

  • Usa el principio de mínima conectividad: solo abre los puertos requeridos, a las fuentes específicas que los necesitan
  • Nunca permitas 0.0.0.0/0 en SSH (22), RDP (3389) o cualquier puerto de base de datos
  • Usa AWS Security Hub o GCP Security Command Center para auditar continuamente las reglas de security group
  • Despliega todos los recursos no públicos en subnets privadas con NAT Gateway para acceso a internet de salida
  • Usa AWS VPC Flow Logs para monitorear y alertar sobre patrones de tráfico inesperados

Tecnologías Afectadas

Node.jsPython

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Bucket S3 con Acceso Público

critical

Tu bucket de S3 es públicamente legible debido a un ACL público, configuración de Block Public Access deshabilitada o una política de bucket con wildcard — cualquiera en internet puede listar y descargar tus archivos.

CWE-284OWASP A05:2021

SSRF a Metadata de Cloud

critical

Tu app hace fetch de URLs proporcionadas por el usuario sin bloquear endpoints de metadata de cloud como 169.254.169.254, dejando a los atacantes robar tus credenciales cloud vía SSRF.

CWE-918OWASP A10:2021

Credenciales AWS Hardcodeadas

critical

Las claves de acceso de AWS (que empiezan con AKIA) o las claves de acceso secretas están hardcodeadas en tu código fuente, dando a cualquiera que lea el código acceso completo a tu cuenta de AWS.

CWE-798OWASP A02:2021

Política IAM Excesivamente Permisiva

high

Tu política IAM usa Action: '*' o Resource: '*', otorgando muchos más permisos de los necesarios y convirtiendo cualquier fuga de credenciales en una toma de control completa de la cuenta.

CWE-269OWASP A01:2021