Google’ın veri bilimcilere yönelik bulut hizmetlerinden birindeki yetersiz güvenlik kontrolleri, bilgisayar korsanlarının internete dönük ortamlarda uygulamalar oluşturmasına, işlemleri yürütmesine ve verilere erişmesine olanak tanıyabilir.
Sorun, Apache Hadoop, Spark ve diğer 30’dan fazla açık kaynak araç ve çerçeve aracılığıyla büyük ölçekli veri işleme ve analiz iş yüklerini çalıştırmaya yönelik yönetilen bir hizmet olan Google Cloud’un “Dataproc”unda yatıyor.
Dataproc’a yönelik sözde “kötüye kullanım riski”, Orca Araştırma Pod’unun ana hatları 12 Aralık’ta açıklandı, Dataproc tarafından kullanılan iki varsayılan açık güvenlik duvarı bağlantı noktasının varlığına dayanır. Eğer bir saldırgan başlangıçtaki hedefe ulaşabilirse açık bir bulut ortamında sunucunun tehlikeye atılması (örneğin yaygın bir yanlış yapılandırma yoluyla), veri bilimcileri gibi bağlantılı kaynaklara ulaşmak için eksik güvenlik kontrollerinden yararlanabilirler. tonlarca hassas veri. Ayrıca bulut ortamlarıyla sayısız başka şekilde de oynayabilirler.
Roi, “Analiz için kullanılan verilerin büyük olasılıkla özel ve hassas veriler içerdiğini ve bunların ihlal edilmesi durumunda kötü aktörlere müşteri verileri, iş zekası ve rekabet istihbaratı için kullanılabilecek diğer verileri sağlayabileceğini hayal edebiliriz” diyor. Nisimi, Orca Security’de bulut tehdit araştırmacısı.
Varsayılan Özel Bulutta Açığa Çıkan Dataproc
Dataproc’un sorunları, her ana düğüm için kullanılan iki Web arayüzünün (8088 numaralı bağlantı noktasındaki YARN ResourceManager ve 9870 numaralı bağlantı noktasındaki Apache Hadoop Dağıtılmış Dosya Sistemi (HDFS) NameNode) herhangi bir kimlik doğrulama gerektirmemesiyle başlıyor.
Orca’ya göre “Yukarıda bahsedilen iki bağlantı noktası tüm adreslere hizmet veriyor.” “Bu da onlara tam olarak erişmenin tek ön koşulunun İnternet erişimi olduğu anlamına geliyor. Dolayısıyla düzgün şekilde bölümlendirilmemiş bir küme büyük hasara neden olabilir.”
Spesifik potansiyel saldırı yoluna gelince, araştırmacılar bunun “oldukça basit” olduğunu belirtiyorlar.
Kaynak: Orca Güvenliği
Google Cloud, Compute Engine adı verilen varsayılan bir sanal özel bulut (VPC) ile paketlenmiş olarak gelir. Bu, gelen bağlantıların çoğunu sınırlarken, bir kuruluşun dahili alt ağındaki hiçbir bağlantıyı sınırlamaz. Dolayısıyla, bir saldırgan varsayılan VPC’yi ihlal edip kodu çalıştırabilirse (örneğin, İnternet’e açık bırakılırsa), bu iki arayüz varsayılan olarak açık bırakıldığı için Dataproc kümelerine erişim yolu vardır.
Araştırmacılar, “Saldırgan artık her iki Web arayüzüne de erişmek için ele geçirilen makinede tünel açabilir” dedi. “Uygulama oluşturmak, iş göndermek ve gerçekleştirmek için YARN uç noktasını kullanabilirler Bulut Depolama işlemleri. … Daha da kötüsü, depolama dosya sistemine göz atmak ve hassas verilere tam erişim elde etmek için HDFS uç noktasını kullanabilirler.”
Araştırmacıların açıkladığı gibi sonuç şu: “İnternet’e yönelik uzaktan kod yürütmeye (RCE) sahip olmak — savunmasız Compute Engine örneği hiç de uzak bir ihtimal değil.”
Araştırmacılar bulgularını Google’a sundu ancak sorun henüz çözülmedi. Google ayrıca Dark Reading’in bu hikaye hakkında yorum yapma talebine de yanıt vermedi.
Nisimi, Google’ın oldukça kolay bir şekilde bir düzeltme uygulayabileceğini söylüyor. “Potansiyel çözümler, küme Web arayüzlerine kimlik doğrulamasız erişimi engelleyecektir” diye açıklıyor. “Örneğin Google, temeldeki açık kaynak yazılım (OSS) yönetilen çözümünde kimlik doğrulamayı varsayılan olarak etkinleştirebilir, böylece GCP Dataproc yalnızca kimlik doğrulamalı erişime izin verebilir.”
Orca bunu kabul etti Google’ın Dataproc belgeleri bu potansiyel güvenlik riskini vurguluyor ve halka açık bir ağda açık güvenlik duvarı kurallarından kaçınılmasını öneriyor, ancak “saldırganın zaten bir Compute Engine örneğinde ilk dayanağının bulunması ve bu durumun onlara GCP Dataproc’a kimlik doğrulamasız erişim vermesi riskini hesaba katmıyorlar” Orca gönderisine göre “aynı zamanda”.
Açığa Çıkan Dataproc’ta Siber Riskten Kaçınma
Bu tür olasılıkları ele almak için araştırmacılar, Dataproc yöneticilerinin etkili güvenlik açığı yönetimi uygulamasını ve diğer hizmetlerle çapraz bulaşma olmadan farklı alt ağlarda bağımsız kümeler oluşturarak ağlarını uygun şekilde bölümlere ayırmasını önerdi. Yöneticiler ayrıca güvenlik duvarı kurallarını ayarlayabilir veya diğer VPC’lere geçebilir.
Araştırmacılar, Google’ın kendisi bir tür düzeltme uygulamadığı sürece, “GCP Dataproc kümelerinin kendilerini savunmasız bırakacak şekilde yapılandırılmamasını sağlamak kuruluşların kendilerine kalmıştır.” diye yazdı.