CloudImposer: Egyetlen rosszindulatú csomaggal több millió Google-szerver ellen
A Tenable Research a Google Cloud Platformban (GCP) egy távoli kódfuttatási (RCE) sérülékenységet fedezett fel, amelyet mostanra javítottak, és amelyet CloudImposer-nek neveztek el. A sérülékenység lehetővé teszi, hogy egy támadó eltérítsen egy belső szoftverfüggőséget, amelyet a Google előre telepít minden egyes Google Cloud Composer pipeline-orchestration eszközön. A Tenable Research a GCP dokumentációjában is talált olyan kockázatos útmutatást, amellyel az ügyfeleknek tisztában kell lenniük. Az ellátási láncot érintő támadások során a támadók behatolnak a törvényes szolgáltatók ellátási rendszereibe. Amikor a szolgáltató véletlenül terjeszti szoftverei kompromittált verzióját, a felhasználók által használt példányok sérülékennyé válnak, ami nagy kiterjedésű incidensekhez vezethet. A felhőben az ellátási láncot érintő támadások teljesen új szintre emelkednek. A felhő hatalmas mérete és széles körű elterjedtsége, valamint összekapcsolt és elosztott jellege felnagyítja ezeket a fenyegetéseket.
A Tenable Research azután fedezte fel a CloudImposert, hogy a GCP és a Python Software Foundation dokumentációját megtalálta, amely az ügyfeleket egy dependency confusion-nek nevezett ellátási lánc támadás veszélyének tehette ki. Az érintett GCP-szolgáltatások az App Engine, a Cloud Function és a Cloud Composer. A Tenable kutatása azt mutatja, hogy bár a dependency confusion-t okozó támadási technikát már évekkel ezelőtt felfedezték, meglepő és aggasztó módon még az olyan vezető technológiai gyártók, mint a Google,sem ismerik a veszélyt és a megelőzésének módját. A felhőben végrehajtott ellátási lánctámadások exponenciálisan károsabbak, mint az on-prem támadások. Például egy felhőszolgáltatásban egyetlen rosszindulatú csomagot felhasználók milliói számára lehet telepíteni – és azzal kárt okozni számukra.
A kutatást a Black Hat USA 2024 rendezvényen mutatták be.
