Mitiga araştırmacıları, saldırganların GCP’nin depolama erişim günlüklerinde kötü amaçlı etkinliğin bariz adli izlerini bırakmadan Google Cloud Platform (GCP) depolama paketlerinde depolanan şirket verilerini çalabileceğini keşfetti.
GCP veri hırsızlığı saldırısı (Kaynak: Mitiga)
GCP paketlerinden gizli veri sızdırma
Kısacası asıl sorun, GCP’nin varsayılan olarak etkinleştirilmemiş olan temel depolama günlüklerinin aynı açıklamayı/olayı kullanmasıdır (nesneler.get) farklı erişim türleri için, örneğin: bir dosyayı okumak, bir dosyayı indirmek, bir dosyayı harici bir klasöre/sunuculara kopyalamak ve dosya/nesne meta verilerini okumak.
Mitiga bulut olay müdahale sorumlusu Veronica Marinov, “Normal kullanımda, depolama nesnelerinin içindeki dosyalar (veya nesneler), kuruluşun günlük etkinliğinin bir parçası olarak günde birkaç kez okunur” dedi.
“Bu kolayca binlerce veya milyonlarca okuma olayına yol açabilir. İndirme veya harici klasöre kopyalama gibi belirli saldırı modellerini belirleyememek, kuruluşların hangi bilgilerin çalındığını ve çalındığını belirlemesini son derece zorlaştırıyor.”
Ayrıca, tehdit aktörünün hedeflenen kuruluşa ait bir çalışanın GCP kullanıcı hesabı üzerinde denetim ele geçirmesine ve ardından bu hesaba basit bir komut girerek tehdit aktörünün GCP kuruluşuna veri kopyalama izni vermesine dayanan olası bir saldırı örneğini ayrıntılı olarak açıkladı. Google’ın komut satırı.
Sorun azaltma ve tehdit avlama adımları
Hem Mitiga hem de Google’ın güvenlik ekibi bunu bir güvenlik açığı olarak değil, bir “güvenlik eksikliği” olarak değerlendiriyor.
Marinov, “Google’ın güvenlik ekibiyle iletişime geçip bu sorun üzerinde birlikte çalıştıktan sonra, bu saldırıyı hafifletmek ve tespit etmek için atılabilecek adımların bir listesini derledik” diye ekledi.
Bu adımlar, Google tarafından yönetilen hizmetlerin kaynakları etrafında bir hizmet çevresi tanımlamayı (VPC Hizmet Kontrolleri aracılığıyla), bu hizmetlerle ve hizmetler arasındaki iletişimi kontrol etmeyi ve bu hizmetlerin ortamlarından yapılan bulut kaynak isteklerini kısıtlamak için kuruluş kısıtlama başlıklarını kullanmayı içerir.
“VPC Hizmet Kontrollerinin veya Organizasyon kısıtlama başlıklarının etkinleştirilmemesi durumunda, aşağıdaki anormalliklerin aranmasını öneririz: Al/Liste olaylarının zamanlarındaki anormallikler, Al/Liste olaylarını gerçekleştiren IAM varlığındaki anormallikler, IP adresindeki anormallikler Al/Liste istekleri, tek bir varlıktan kaynaklanan kısa zaman dilimleri içindeki Al/Liste olaylarının hacmindeki anormalliklerden kaynaklanır.”
Son olarak, yöneticiler ayrıca depolama kaynaklarına erişimi kısıtlayabilir ve okuma/aktarma izinlerini kaldırmayı değerlendirebilir.
AWS (örneğin) yaptığında, Google’ın neden günlüklerdeki farklı erişim türleri arasında ayrım yapmamayı seçtiği açık değil.