Siber güvenlik araştırmacıları, bir saldırganın yetkisiz bir şekilde diğer hizmetlere ve hassas verilere erişmek için kullanabileceği, Google Cloud Platform’un Cloud Functions hizmetini etkileyen bir ayrıcalık yükseltme güvenlik açığını açıkladı.
Tenable bu güvenlik açığına ConfusedFunction adını verdi.
Açıklamada, “Bir saldırgan, ayrıcalıklarını Varsayılan Bulut Oluşturma Hizmet Hesabına yükseltebilir ve Bulut Oluşturma, depolama (diğer işlevlerin kaynak kodları dahil), eser kaydı ve kapsayıcı kaydı gibi çok sayıda hizmete erişebilir” denildi.
“Bu erişim, kurbanın projesinde yatay hareket ve ayrıcalık yükseltmeye, yetkisiz verilere erişmeye ve hatta bunları güncellemeye veya silmeye olanak tanır.”
Bulut Fonksiyonları, geliştiricilerin bir sunucuyu yönetmeye veya çerçeveleri güncellemeye gerek kalmadan belirli Bulut olaylarına yanıt olarak tetiklenen tek amaçlı işlevler oluşturmalarına olanak tanıyan sunucusuz bir yürütme ortamını ifade eder.
Tenable tarafından keşfedilen sorun, bir Cloud Function oluşturulduğunda veya güncellendiğinde arka planda bir Cloud Build hizmet hesabının oluşturulması ve varsayılan olarak bir Cloud Build örneğine bağlanmasıyla ilgilidir.
Bu hizmet hesabı, aşırı izinleri nedeniyle potansiyel kötü amaçlı faaliyetlere kapı açar ve böylece bir Bulut İşlevi oluşturma veya güncelleme erişimi olan bir saldırganın bu açığı kullanarak ayrıcalıklarını hizmet hesabına yükseltmesine olanak tanır.
Bu izin daha sonra Cloud Function ile birlikte oluşturulan Cloud Storage, Artifact Registry ve Container Registry gibi diğer Google Cloud hizmetlerine erişmek için kötüye kullanılabilir. Varsayımsal bir saldırı senaryosunda, ConfusedFunction bir webhook aracılığıyla Cloud Build hizmet hesabı belirtecini sızdırmak için kullanılabilir.
Sorumlu ifşanın ardından Google, Cloud Build’in kötüye kullanımı önlemek için varsayılan Compute Engine hizmet hesabını kullanması için varsayılan davranışı güncelledi. Ancak, bu değişikliklerin mevcut örneklere uygulanmadığını belirtmekte fayda var.
Tenable araştırmacısı Liv Matan, “ConfusedFunction güvenlik açığı, bir bulut sağlayıcısının hizmetlerindeki yazılım karmaşıklığı ve hizmetler arası iletişim nedeniyle ortaya çıkabilecek sorunlu senaryoları vurguluyor” dedi.
“GCP düzeltmesi gelecekteki dağıtımlar için sorunun ciddiyetini azaltmış olsa da, sorunu tamamen ortadan kaldırmadı. Bunun nedeni, bir Cloud Function dağıtımının yukarıda belirtilen GCP hizmetlerinin oluşturulmasını tetiklemesidir. Sonuç olarak, kullanıcılar bir işlevin dağıtımının parçası olarak Cloud Build hizmet hesabına asgari ancak yine de nispeten geniş izinler atamak zorundadır.”
Gelişme, Outpost24’ün Oracle Integration Cloud Platform’da kötü amaçlı kod enjekte etmek için silah olarak kullanılabilecek orta şiddette bir çapraz site betik çalıştırma (XSS) açığını ayrıntılı olarak açıklamasının ardından geldi.
“Consumer_url” parametresinin işlenmesinden kaynaklanan kusur, Oracle’ın bu ayın başlarında yayınladığı Kritik Yama Güncellemesi (CPU) ile giderildi.
“Yeni bir entegrasyon oluşturma sayfası https://.integration.ocp.oraclecloud.com/ic/integration/home/faces/link?page=integration&consumer_url= adresinde bulunmaktadır
“Bu, bir saldırganın platformun herhangi bir kullanıcısına işlevsel bir yük göndermek için yalnızca belirli entegrasyon platformunun örnek kimliğini tanımlaması gerektiği anlamına geliyordu. Sonuç olarak, saldırgan genellikle yalnızca oturum açmış kullanıcılar tarafından erişilebilen belirli bir entegrasyon kimliğini bilme gereksinimini atlatabilirdi.”
Ayrıca Assetnote’un ServiceNow bulut bilişim platformunda (CVE-2024-4879, CVE-2024-5178 ve CVE-2024-5217) üç güvenlik açığı keşfetmesi, bu açığın Now Platformu bağlamında tam veritabanı erişimi elde etmek ve keyfi kod çalıştırmak için bir istismar zincirine dönüştürülebileceğini gösteriyor.