Istraživači cyber sigurnosti otkrili su ranjivost eskalacije privilegija koja utiče na uslugu Cloud Functions Google Cloud Platforme koju bi napadač mogao iskoristiti za pristup drugim uslugama i osjetljivim podacima na neovlašten način.
Tenable je ranjivosti dao naziv ConfusedFunction.
“Napadač bi mogao eskalirati svoje privilegije na zadani račun usluge Cloud Build i pristupiti brojnim uslugama kao što su Cloud Build, skladište (uključujući izvorni kod drugih funkcija), registar artefakata i registar kontejnera”, navodi se u saopštenju kompanije za upravljanje izloženošću.
“Ovaj pristup omogućava bočno kretanje i eskalaciju privilegija u projektu žrtve, pristup neovlaštenim podacima, pa čak i njihovo ažuriranje ili brisanje.”
Cloud funkcije se odnose na okruženje izvršavanja bez servera koje omogućava programerima da kreiraju funkcije jedne namjene koje se pokreću kao odgovor na specifične Cloud događaje bez potrebe za upravljanjem serverom ili ažuriranjem okvira.
Problem koji je Tenable otkrio povezan je s činjenicom da se račun usluge Cloud Build kreira u pozadini i po defaultu povezuje s instancom Cloud Build-a kada se kreira ili ažurira Cloud funkcija.
Ovaj servisni nalog otvara vrata za potencijalne zlonamerne aktivnosti zbog svojih prevelikih dozvola, dopuštajući tako napadaču sa pristupom da kreira ili ažurira Cloud funkciju da iskoristi ovu rupu i eskalira svoje privilegije na nalog usluge.
Ova bi dozvola tada mogla biti zloupotrijebljena za pristup drugim Google Cloud uslugama koje su takođe kreirane u tandemu s Cloud funkcijom, uključujući Cloud Storage, Artifact Registry i Container Registry. U hipotetičkom scenariju napada, ConfusedFunction bi se mogao iskoristiti za curenje tokena usluge Cloud Build putem webhooka.
Nakon odgovornog otkrivanja, Google je ažurirao zadano ponašanje tako da Cloud Build koristi račun za zadanu uslugu Compute Engine kako bi spriječio zloupotrebu. Međutim, vrijedno je napomenuti da se ove promjene ne odnose na postojeće instance.
“Ranjivost ConfusedFunction naglašava problematične scenarije koji mogu nastati zbog složenosti softvera i komunikacije među uslugama u uslugama provajdera u cloud-u”, rekla je istraživačica Tenable Liv Matan.
“Iako je GCP popravak smanjio ozbiljnost problema za buduće implementacije, nije ga u potpunosti eliminirao. To je zato što implementacija Cloud funkcije i dalje pokreće stvaranje gore navedenih GCP usluga. Kao rezultat, korisnici i dalje moraju dodijeliti minimalne, ali još uvijek relativno široke dozvole za račun usluge Cloud Build kao dio implementacije funkcije.”
Razvoj dolazi nakon što je Outpost24 detaljno opisao grešku srednjeg stepena ozbiljnosti u skriptovanju (XSS) u Oracle Integration Cloud Platformu koja bi se mogla iskoristiti za ubacivanje zlonamjernog koda u aplikaciju.
Grešku, koja je ukorijenjena u rukovanju parametrom “consumer_url”, Oracle je riješio u svom ažuriranju kritične zakrpe (CPU) objavljenom ranije ovog mjeseca.
“Stranica za kreiranje nove integracije, pronađena na https://<instanceid>.integration.ocp.oraclecloud.com/ic/integration/home/faces/link?page=integration&consumer_url=<payload>, nije zahtijevala nikakvu drugu parametri”, rekao je istraživač sigurnosti Filip Nyquist .
“Ovo je značilo da bi napadač trebao samo identificirati instance-id specifične integracijske platforme kako bi poslao funkcionalni teret bilo kojem korisniku platforme. Posljedično, napadač bi mogao zaobići zahtjev za poznavanjem specifičnog ID-a integracije, što je obično dostupno samo prijavljenim korisnicima.”
Takođe prati Assetnoteovo otkriće tri sigurnosne ranjivosti na platformi za računanje u cloud-u ServiceNow (CVE-2024-4879, CVE-2024-5178 i CVE-2024-5217) koje bi se mogle oblikovati u lanac eksploatacije kako bi se dobio potpuni pristup bazi podataka i izvršavanje proizvoljnog koda na unutar konteksta Now Platforme.
Nedostaci ServiceNow-a su od tada bili pod aktivnom eksploatacijom nepoznatih hakera u sklopu “globalne izviđačke kampanje” dizajnirane za prikupljanje detalja baze podataka, kao što su korisničke liste i akreditivi naloga, od osjetljivih instanci.
Aktivnost, usmjerena na kompanije u različitim industrijskim vertikalama, kao što su energetika, centri podataka, razvoj softvera i vladini subjekti na Bliskom istoku, mogla bi se iskoristiti za “sajber špijunažu i dalje ciljanje”, rekao je Resecurity .
Izvor:The Hacker News