Google kısa bir süre önce, hassas verilere erişmek ve diğer bulut hizmetlerini ihlal etmek için kullanılmış olabilecek kritik bir Cloud SQL veritabanı hizmeti kusurunu düzeltti.
25 Mayıs’ta Dig Security araştırmacıları, GCP’nin CloudSQL hizmetindeki bu güvenlik açığını ortaya çıkardı ve aşağıdakiler gibi çeşitli veritabanı motorlarına yetkisiz erişim sağladı:-
- MySQL
- postgresql
- SQL Server
Google Cloud’un SQL Hizmeti Kusuru
Dig Security’den Ofrir Balassiano ve Ofrir Shaty şunları açıkladı:-
“Güvenlik açığından yararlanmak, onlara ayrıcalıkları yükseltme ve bir kullanıcıyı GCP’de yüksek ayrıcalıklı DbRootRole rolüne atama yeteneği sağladı.”
Rol izinleri mimarisinde kritik bir yanlış yapılandırmadan yararlanarak ayrıcalıklarını artırdılar.
SQL Server üzerinde tam kontrol sağlayan ve temeldeki işletim sistemine erişim sağlayan bir sistem yöneticisi rolü aldılar.
Araştırmacılar, ana bilgisayar işletim sisteminden hassas dosyaları alma, ayrıcalıklı yolları görüntüleme, parolaları çıkarma ve sırlara erişme becerisi kazandıklarını doğruladılar.
Ayrıca, temel alınan hizmet aracıları aracılığıyla diğer ortamlara daha fazla yükseltme potansiyelinin altını çizdiler.
Bunun dışındayken Dig Security, Şubat ayında Google’ın Cloud SQL veritabanı hizmetindeki açığı fark etti ve Google’a bildirdi.
Kendilerine bildirimde bulunulduktan sonra, Google sorunu Nisan ayında derhal düzeltti ve Dig Security araştırmacılarını hata ödül programları kapsamında bir hata ödül ödülü ile ödüllendirdi.
Buna ek olarak, güvenlik analistleri, izin yapısında, ayrıcalıkları yükseltmelerine ve kullanıcılarına gıpta ile bakılan ‘sysadmin’ rolünü vermelerine olanak tanıyan başka bir önemli kusur keşfettiler.
Sırlar, URL’ler ve şifreler gibi dahili verilere yetkisiz erişim, sorun çözülmeden ve dahili olmayan IP erişimi kısıtlanmadan önce Google’ın liman işçisi görüntü havuzundan hassas bilgileri elde etme kabiliyetlerinin gösterdiği gibi, önemli bir güvenlik riski oluşturur.
Araştırma Zaman Çizelgeleri
Aşağıda, tüm araştırma zaman çizelgelerinden bahsetmiştik: –
- 5 Şubat 2023: Dig’in araştırma ekibi tarafından GCP CloudSQL güvenlik açığı keşfedildi.
- 13 Şubat 2023: Google’ın güvenlik açığı ödül programı etkinliği belirledi ve Dig’in araştırma ekibiyle iletişime geçti.
- Nisan 2023 boyunca: Güvenlik açığı başarıyla giderildi ve çözüldü.
- 25 Nisan 2023: Uzmanlar, GCP VRP programı tarafından ödüllendirildi.
Bir Veri Güvenliği ve Gizlilik Yönetimi (DSPM) çözümü dağıtmak, en hassas verilerini şifreleme yoluyla tanımlayıp koruyarak, olası ihlalleri kontrol altına alarak ve açığa çıkmayı en aza indirerek kuruluşları güvenlik açıklarından koruyabilir.