Google Cloud, platformunda, kötü niyetli aktörler tarafından kullanılması durumunda birden çok genel bulutta yaygın veri ihlallerine yol açabilecek potansiyel olarak tehlikeli bir uygulama programlama arayüzü (API) güvenlik açığını düzeltti.
Varlık Anahtarı Hırsızı olarak adlandırılan ve Dorset’teki Birleşik Krallık ofisleri ile Kaliforniya merkezli bir bulut güvenlik danışmanlığı şirketi olan SADA’daki araştırmacılar tarafından açıklanan hata, 7 Şubat 2023’te ortaya çıkarıldı ve aynı gün Google Güvenlik Açığı Ödül Programı aracılığıyla bildirildi. Biraz ileri geri gittikten sonra Google, 23 Şubat’ta güvenlik açığını kabul etti ve 14 Mart’ta düzeltildi ve doğrulandı.
SADA baş teknoloji sorumlusu Miles Ward, “Müşterilerimizi bulutta kuruluşlarını dönüştürürken desteklemek, güvenlik söz konusu olduğunda sürekli tetikte olmak anlamına gelir” dedi.
“Hiçbir genel bulut, güvenlik açıklarından muaf değildir ve bir güvenlik açığı tespit ettiğimizde hepimiz hızlı hareket etmeli, açık bir şekilde işbirliği yapmalı ve şeffaf bir şekilde iletişim kurmalıyız.
“Bu hatayı dikkatlerine sunduğumuzda ne kadar hızlı ve eksiksiz yanıt verdikleri için Google Cloud’u takdir ediyoruz” dedi. “SADA mühendislerinin, müşterilerimizin verilerinin güvende kalmasını sağlamak için yaptıkları çalışmalardan gurur duyuyoruz.”
Güvenlik açığının kendisi, Cloud Asset Inventory API’de mevcuttu ve Hizmet Hesabı özel anahtarları olarak bilinen kalıcı bir erişim mekanizmasıyla ilgiliydi ve API’yi, ilgili platformda belirli izinler (cloudasset.assets.searchAllResources) verilmiş müdürlerle etkinleştirmiş olan tüm Google Cloud müşterilerini etkiledi. sınırlı bir süre için çevre.
Pratikte bu, gerekli izne sahip herkesin, Google Cloud ortamında önceki 12 saat içinde oluşturulan veya döndürülen bir Hizmet Hesabının özel anahtar materyalini sızdırmak için belirli bir gcloud SDK komutunu kullanabileceği ve kimliğini devralabileceği anlamına geliyordu. söz konusu hesapla ilişkili izinler.
Etki Değerlendirmesi
Güvenlik açığından vahşi ortamda yararlanılsaydı, etkisi, yararlanılan hesapların sahip olduğu izinlere bağlı olarak değişirdi.
SADA ekibi, ortaya çıkmış olabilecek üç potansiyel senaryo öne sürdü:
- İlk senaryoda, “aşırı izin verici” Sahip rolü atanan kod olarak altyapı sağlama için kullanılan kuruluş düzeyinde bir Hizmet Hesabından özel bir anahtarın çalınması, kötü niyetli bir aktörün kurban ortamındaki neredeyse tüm kaynaklara ve verilere erişmesine olanak tanır;
- İkinci senaryoda, Editör rolü atanan varsayılan bir Hizmet Hesabından özel anahtarın çalınması, bir saldırganın söz konusu kişinin projesindeki tüm kaynaklara erişmesine veya yasadışı kripto madencileri döndürmek, rafa kaldırmak gibi daha fazla etkinlik gerçekleştirmesine olanak tanır. mağdur için önemli ek masraflar;
- Üçüncü senaryoda, merkezi bir yönetim yapısındaki diğer Hizmet Hesaplarının kimliğini üstlenme becerisine sahip bir Hizmet Hesabından özel anahtarın çalınması – belki de teknik destek nedenleriyle – bir saldırganın çeşitli Hizmet Hesapları üzerinden zincir erişimine izin verirdi. hassas müşteri verilerine erişimi olana kadar.
Güvenlik açığı giderilmiş olsa da SADA, Google Cloud kullanıcılarının istismar tekniğinin olası oluşumlarını taramasını, anormal Hizmet Hesabı davranışını aramasını ve Kullanıcı tarafından yönetilen Hizmet Hesabı anahtarlarını döndürmesini önermektedir.
Google Cloud ortamınızda, Cloud Asset Inventory API’de ADMIN_READ etkinliği için etkinleştirilmiş veri erişim günlükleri varsa kötüye kullanım örneklerini de arayabilirsiniz. Ayrıca Google Cloud Security Command Center Premium hizmeti, güvenlik açığından kaynaklanmış olabilecek anormal davranışları tespit etmek için yerleşik algılayıcılar içerir.