Vulnerabilità ConfusedFunction Scoperta su Google Cloud Platform
25 luglio 2024 - Newsroom Cloud Security / Vulnerability
I ricercatori di sicurezza informatica hanno rivelato una vulnerabilità di escalation dei privilegi che impatta il servizio Cloud Functions di Google Cloud Platform, che un attaccante potrebbe sfruttare per accedere ad altri servizi e dati sensibili in modo non autorizzato.
Tenable ha assegnato alla vulnerabilità il nome ConfusedFunction.
"Un attaccante potrebbe scalare i propri privilegi all'Account di Servizio Predefinito di Cloud Build e accedere a numerosi servizi come Cloud Build, storage (incluso il codice sorgente di altre funzioni), artifact registry e container registry," ha dichiarato la società di gestione delle esposizioni in un comunicato.
"Questo accesso consente movimenti laterali ed escalation dei privilegi nel progetto della vittima, permettendo l'accesso non autorizzato ai dati e persino l'aggiornamento o la cancellazione degli stessi."
Cloud Functions si riferisce a un ambiente di esecuzione serverless che permette agli sviluppatori di creare funzioni a scopo singolo che vengono attivate in risposta a eventi specifici di Cloud senza la necessità di gestire un server o aggiornare i framework.
Il problema scoperto da Tenable riguarda il fatto che un account di servizio Cloud Build viene creato in background e collegato a un'istanza di Cloud Build per impostazione predefinita quando viene creata o aggiornata una Cloud Function.
Questo account di servizio apre la porta ad attività potenzialmente dannose a causa delle sue eccessive autorizzazioni, consentendo così a un attaccante con accesso per creare o aggiornare una Cloud Function di sfruttare questa falla e scalare i propri privilegi all'account di servizio.
Queste autorizzazioni potrebbero poi essere abusate per accedere ad altri servizi di Google Cloud creati insieme alla Cloud Function, inclusi Cloud Storage, Artifact Registry e Container Registry. In uno scenario ipotetico di attacco, ConfusedFunction potrebbe essere sfruttata per far trapelare il token dell'account di servizio Cloud Build tramite un webhook.
Dopo una divulgazione responsabile, Google ha aggiornato il comportamento predefinito affinché Cloud Build utilizzi l'account di servizio predefinito di Compute Engine per prevenire abusi. Tuttavia, è importante notare che queste modifiche non si applicano alle istanze esistenti.
"La vulnerabilità ConfusedFunction evidenzia gli scenari problematici che possono sorgere a causa della complessità del software e della comunicazione tra i servizi in un provider di cloud," ha affermato Liv Matan, ricercatore di Tenable.
"Mentre la correzione di GCP ha ridotto la gravità del problema per le future implementazioni, non l'ha completamente eliminata. Questo perché il deployment di una Cloud Function continua a innescare la creazione dei servizi GCP sopra menzionati. Di conseguenza, gli utenti devono ancora assegnare autorizzazioni minime ma comunque relativamente ampie all'account di servizio Cloud Build come parte del deployment di una funzione."
Questo sviluppo arriva mentre Outpost24 ha dettagliato una vulnerabilità di cross-site scripting (XSS) di media gravità nella Oracle Integration Cloud Platform che potrebbe essere utilizzata per iniettare codice dannoso nell'applicazione.
Il difetto, che è radicato nella gestione del parametro "consumer_url", è stato risolto da Oracle nel suo Critical Patch Update (CPU) rilasciato all'inizio di questo mese.
"La pagina per creare una nuova integrazione, trovata su https://<instanceid>.integration.ocp.oraclecloud.com/ic/integration/home/faces/link?page=integration&consumer_url=<payload>, non richiedeva altri parametri," ha affermato il ricercatore di sicurezza Filip Nyquist.
"Ciò significava che un attaccante avrebbe solo bisogno di identificare l'ID dell'istanza della specifica piattaforma di integrazione per inviare un payload funzionale a qualsiasi utente della piattaforma. Di conseguenza, l'attaccante potrebbe bypassare il requisito di conoscere un ID di integrazione specifico, che è tipicamente accessibile solo agli utenti loggati."
Inoltre, Assetnote ha scoperto tre vulnerabilità di sicurezza nella piattaforma di cloud computing ServiceNow (CVE-2024-4879, CVE-2024-5178 e CVE-2024-5217) che potrebbero essere sfruttate in una catena di exploit per ottenere accesso completo al database ed eseguire codice arbitrario nel contesto della Now Platform.
Le carenze di ServiceNow sono state successivamente sfruttate attivamente da attori di minacce sconosciuti come parte di una "campagna di ricognizione globale" progettata per raccogliere dettagli del database, come elenchi di utenti e credenziali di account, da istanze vulnerabili.
L'attività, che prende di mira aziende in vari settori industriali come energia, data center, sviluppo software e enti governativi in Medio Oriente, potrebbe essere utilizzata per "cyber spionaggio e ulteriori attacchi mirati," ha affermato Resecurity.