Ερευνητές ασφαλείας αποκάλυψαν μια σοβαρή ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) στο Google Cloud Platform (GCP), η οποία ενδέχεται να έχει επιτρέψει στους χάκερς να εκτελούν κακόβουλο κώδικα σε εκατομμύρια servers της Google.
Η ευπάθεια, που ονομάστηκε “CloudImposer” από την Tenable Research, έχει πλέον επιδιορθωθεί από την Google.
Η ευπάθεια εντοπίστηκε στην υπηρεσία Cloud Composer του GCP, ένα εργαλείο ενορχήστρωσης διαχειριζόμενης ροής εργασίας βασισμένο στο Apache Airflow. Προήλθε από μια επικίνδυνη διαδικασία εγκατάστασης πακέτων που άφηνε την υπηρεσία εκτεθειμένη σε επιθέσεις σύγχυσης εξαρτήσεων.
Διαβάστε επίσης: Η Google επεκτείνει το όριο των επαφών στο widget αρχικής οθόνη
Οι ερευνητές της Tenable ανακάλυψαν ότι η Google χρησιμοποιούσε το όρισμα «–extra-index-url» κατά την εγκατάσταση ιδιωτικών πακέτων Python στο Cloud Composer. Αυτό το όρισμα παρεμβαίνει στον διαχειριστή πακέτων ώστε να ελέγχει τόσο ιδιωτικά όσο και δημόσια αποθετήρια, γεγονός που μπορεί να επιτρέψει στους χάκερς να τον παραπλανήσουν προκειμένου να εγκαταστήσουν κακόβουλα πακέτα από δημόσιες πηγές.
«Το CloudImposer θα μπορούσε να έχει επιτρέψει στους εισβολείς να εκτελέσουν μαζικές επιθέσεις στην αλυσίδα εφοδιασμού, θέτοντας σε κίνδυνο την υπηρεσία Cloud Composer της Google Cloud Platform για την ενορχήστρωση αγωγών λογισμικού», δήλωσε ο Liv Matan, ερευνητής ασφαλείας στην Tenable.
Η ευπάθεια επηρέασε πολλές υπηρεσίες GCP, όπως οι App Engine, Cloud Functions και Cloud Composer. Με την εκμετάλλευσή της, ένας εισβολέας θα μπορούσε να ανεβάσει ένα κακόβουλο πακέτο στο δημόσιο αποθετήριο PyPI, το οποίο θα εγκαθίστατο αυτόματα σε παραδείγματα του Cloud Composer με αυξημένα δικαιώματα. Αυτό θα μπορούσε να επιτρέψει στους χάκερς να εκτελέσουν αυθαίρετο κώδικα, να κλέψουν credentials λογαριασμού υπηρεσίας και ενδεχομένως να μετακινηθούν πλευρικά για να παραβιάσουν άλλες υπηρεσίες GCP.
Η εκτεταμένη φύση της ευπάθειας σήμαινε ότι ένα μόνο παραβιασμένο πακέτο μπορούσε να επηρεάσει εκατομμύρια διακομιστές στην υποδομή της Google και στα περιβάλλοντα των πελατών της. Όπως σημείωσε η Tenable, “οι επιθέσεις εφοδιαστικής αλυσίδας στο cloud είναι εκθετικά πιο επιβλαβείς από ότι σε εγκαταστάσεις. Ένα κακόβουλο πακέτο σε μια υπηρεσία cloud μπορεί να αναπτυχθεί – και να προκαλέσει ζημιά – σε εκατομμύρια χρήστες.”
Η Google έχει πλέον διορθώσει την ευπάθεια, διασφαλίζοντας ότι το επηρεασμένο πακέτο Python εγκαθίσταται μόνο από ιδιωτικούς χώρους αποθήκευσης. Η εταιρεία έχει επίσης εφαρμόσει πρόσθετα μέτρα ασφαλείας, όπως η επαλήθευση αθροίσματος ελέγχου, προκειμένου να διασφαλίσει την ακεραιότητα του πακέτου.
Δείτε περισσότερα: ConfusedFunction: Ανακαλύφθηκε ευπάθεια στο Google Cloud
Ανταποκρινόμενη στα ευρήματα, η Google ενημέρωσε την τεκμηρίωσή της προτείνοντας τη χρήση του πιο ασφαλούς ορίσματος «–index-url» αντί του «–extra-index-url» κατά την εγκατάσταση πακέτων. Επίσης, προτρέπει τους πελάτες της να χρησιμοποιούν το εικονικό αποθετήριο Artifact Registry του GCP για τη διαχείριση πολλαπλών πηγών πακέτων.
Η ανακάλυψη τονίζει τις συνεχείς προκλήσεις που σχετίζονται με την ασφάλεια των περιβαλλόντων cloud και των αλυσίδων εφοδιασμού λογισμικού (supply chain). Επισημαίνει επίσης την ανάγκη για τους παρόχους cloud και τους πελάτες να εφαρμόζουν αυστηρές πρακτικές ασφάλειας σχετικά με τη διαχείριση πακέτων και την επίλυση εξαρτήσεων.
Οι οργανισμοί που χρησιμοποιούν υπηρεσίες GCP καλούνται να επανεξετάσουν τις διαδικασίες εγκατάστασης πακέτων τους και να διασφαλίσουν ότι διαθέτουν κατάλληλες δικλείδες ασφαλείας για την πρόληψη επιθέσεων που σχετίζονται με την παραπληροφόρηση. Αυτό περιλαμβάνει τη χρήση καρφιτσώματος εκδόσεων, ελέγχων αθροισμάτων και ιδιωτικών αποθετηρίων όπου είναι εφικτό.
Διαβάστε ακόμη: Νέες κυβερνοαπειλές για τα Cloud συστήματα και πώς θα τις μετριάσετε
Η ευπάθεια CloudImposer μας υπενθυμίζει την περίπλοκη και διασυνδεδεμένη φύση των σύγχρονων περιβαλλόντων cloud, καθώς και την πιθανότητα οι φαινομενικά μικρές διαμορφωτικές εσφαλμένες να έχουν εκτενείς επιπτώσεις στην ασφάλεια. Καθώς η υιοθέτηση του cloud συνεχίζει να αυξάνεται, η αντιμετώπιση αυτών των κινδύνων στην αλυσίδα εφοδιασμού θα παραμείνει μια κρίσιμη προτεραιότητα για τον τομέα.
Πηγή: cybersecuritynews