Tenable Research розкрила деталі вразливості привілеїв у вразливості в Google Cloud Composer, що могло б дозволити зловмисникам отримати несанкціонований доступ до критичних хмарних ресурсів.
Було виявлено, що вразливість, яку називають ConfusedComposer, впливає на середовища композитора Google Cloud, дозволяючи користувачам з обмеженими дозволами використовувати інтеграцію між композитором та Google Cloud Build, службою безперервної інтеграції та доставки Google.
Tenbeable повідомив, що зловмисники, що володіють дозволами редагування в хмарному композитору, можуть скористатися використанням композитора за замовчуванням облікового запису служби служби Cloud Build, який налаштований з широкими пільгами через послуги Google Cloud Platform (GCP). Вводячи зловмисний пакет Python під час процесу встановлення, зловмисники могли посилити свої привілеї та взяти на себе особу облікового запису служби Cloud Build.
Під час контролю над цим обліковим записом послуги актор загрози матиме доступ до декількох критичних ресурсів GCP, включаючи хмарну збірку, хмарне зберігання та реєстр артефактів. Цей доступ може бути використаний для крадіжки даних, введення шкідливого коду в трубопроводи для створення програмного забезпечення, встановлення наполегливості через приховані заходи або посилення привілеїв далі, щоб потенційно взяти на себе повний контроль проекту GCP.
ConfusedComposer описується як варіант раніше виявленої вразливості, відомої як ConfusedFunction, ілюструючи, як взаємопов'язаний характер хмарних служб може сприяти розробці нових методів експлуатації на основі існуючих слабких місць.
Tenable використовував термін “концепція Jenga” для опису цього явища, де слабкі місця безпеки в одному хмарному сервісному шарі можуть каскадуватися в інших через переплетені залежності.
“Коли ви граєте в гру Jenga, видалення одного блоку може зробити всю вежу нестабільною”, – сказала Лів Матан, старший дослідник безпеки в Tenable. “Хмарні послуги працюють однаково. Якщо один шар має ризиковані налаштування за замовчуванням, то цей ризик може поширитись на інших, роблячи порушення безпеки, швидше за все.”
Google вирішила вразливість, і від користувачів не потрібні додаткові дії для пом'якшення проблеми в існуючих середовищах. Однак висновки Tenbable підкреслюють більш широку стурбованість організаціями, що покладаються на екосистеми хмарних служб, що складаються з складених та взаємозалежних послуг.
Тенераційні окреслені конкретні наслідки, які можуть бути наслідком експлуатації ConfusedComposer. Потенційні наслідки включають крадіжку конфіденційних даних, компроміс з трубопроводів CI/CD, встановлення постійних методів несанкціонованого доступу та повне поглинання постраждалих проектів Google Cloud.
Що стосується найкращих практик безпеки, то, порекомендувавши організаціям застосовувати принцип найменшої привілеї, щоб мінімізувати непотрібне успадкування дозволу, на карту прихованих залежності обслуговування, використовуючи такі інструменти, як Jenganizer, та проводити регулярні огляди журналів для виявлення підозрілих спроб доступу.
“Відкриття ConfusedComposer підкреслює необхідність служб безпеки для виявлення прихованих хмарних взаємодій та застосування суворих привілеїв. Оскільки хмарні середовища стають складнішими, важливо визначити та вирішити ризики, перш ніж зловмисники скористаються ними”, – додав Матан.
Розкриття ConfusedComposer звертає увагу на зростаючу складність та взаємозв'язок у безпеці хмарної платформи, що дозволяє припустити, що команди повинні активно оцінювати потенційні шляхи ескалації привілеїв та успадковані ризики у своїх хмарних архітектурах.