Vulnerabilidad de Google Cloud Platform: un investigador defendible revela riesgos de seguridad

Así respondieron los clientes de Google Cloud Platform
Vulnerabilidad en Google Cloud permite privilegios del sistema a atacantes

Los investigadores de Tenable han descubierto una vulnerabilidad en la funcionalidad de la nube de Google Cloud Platform (GCP). El entorno de ejecución sin servidor se utiliza para la automatización y le permite construir rápidamente su infraestructura.

Investigadores de seguridad defendibles Se ha identificado una vulnerabilidad en Google Cloud Platform (GCP).que se conoce como la “función de confusión”. La vulnerabilidad afecta a Cloud Functions, un entorno de ejecución sin servidor de GCP que permite a los desarrolladores ejecutar funciones sin tener que preocuparse por la infraestructura subyacente.

Los atacantes pueden apoderarse de la cuenta del sistema en la nube de Google

El problema surge con el servicio Cloud Build CI/CD de GCP, que se utiliza para implementar y administrar estos trabajos en la nube. Cuando crea o actualiza un trabajo en la nube, Google Cloud Platform inicia un proceso en segundo plano de varios pasos. Durante este proceso, se crea automáticamente una instancia de Cloud Build, que proporciona la funcionalidad. Una parte clave de este proceso es asociar su cuenta de servicio estándar Cloud Build con la instancia. A esta cuenta se le otorgan amplios permisos más allá de lo necesario para ejecutar la funcionalidad de la nube. Esta automatización ocurre en segundo plano y generalmente está oculta para el usuario.

La vulnerabilidad surge porque un atacante que pueda crear o actualizar una función en la nube podría aprovechar estos privilegios excesivos. Al manipular una instancia de Cloud Build, un atacante puede obtener privilegios elevados para la cuenta de servicio predeterminada de Cloud Build. Estos derechos permiten al atacante acceder a otros servicios de GCP creados como parte de la creación de funciones, como Cloud Storage o Container Registry.

Así deben interactuar los clientes de Google

Para protegerse contra esta vulnerabilidad, recomendamos reemplazarla con una cuenta que tenga derechos mínimos en todos los trabajos en la nube que utilicen la cuenta de servicio Cloud Build anterior antes de junio de 2024. Esta medida reduce el riesgo de que un atacante aproveche privilegios elevados. Aunque Google Cloud Platform ha mejorado la seguridad de las nuevas implementaciones a través de sus medidas, persisten los riesgos para las instancias existentes. Por tanto, es necesario revisar las políticas de IAM (Gestión de identidad y acceso) y modificarlas si es necesario.

La vulnerabilidad ConfusedFunction afecta la funcionalidad de la nube de primera y segunda generación. Al inyectar un paquete malicioso en las dependencias de la función durante la implementación, los atacantes pueden obtener acceso a esta instancia y escalar sus privilegios. Por ejemplo, un script de preinstalación malicioso en el paquete podría extraer el token de acceso a la cuenta del servicio Cloud Build de los metadatos de la instancia y enviarlo a un servidor externo, permitiendo al atacante hacerse pasar por la cuenta del servicio Cloud Build. Esta vulnerabilidad es particularmente peligrosa porque todo el proceso se ejecuta en segundo plano. Google Cloud Platform ha implementado medidas de seguridad adicionales en respuesta al informe de ConfusedFunction. Un cambio importante es la capacidad de utilizar una cuenta de servicio dedicada para una instancia de Cloud Build dedicada a las necesidades de la función de la nube.

(Número: 50127162)