Der er en sårbarhed i Googles Compute-motorplatform, som angribere kunne udnytte for at få kontrol over virtuelle maskiner over netværket. Opdagelsen kommer fra sikkerhedsforsker Imre Rad, der offentliggjorde en analyse på GitHub. Han rapporterede om "en upatchet sårbarhed, der påvirker virtuelle maskiner i Googles Compute Engine-platform."
Hvad er Google Compute Engine?
Kort sagt, det er en tilpasset beregningstjeneste, der muliggør oprettelse og kørsel af virtuelle maskiner på Googles infrastruktur. Det er en infrastruktur-som-en-tjeneste-komponent af Google Cloud Platform, bygget på den globale infrastruktur, der kører Googles søgemaskine, Gmail, YouTube. Tjenesten muliggør lagring af metadata i metadataserveren, tilbyder et centralt punkt for at placere metadata i nøgleværdipar til VM'erne ved kørsel.
Relaterede: Sårbarhed i Google Drev kan føre til download af malware
Ikke-patchet sårbarhed i Google Compute Engine
Udnyttelsen er mulig ”på grund af svage tilfældige tal brugt af ISC DHCP-softwaren og en uheldig kombination af yderligere faktorer.” Angrebet kan ske ved at efterligne Metadata-serveren fra den målrettede VMs maskinsynspunkt. ”Ved at montere denne udnyttelse, angriberen kan give adgang til sig selv via SSH (godkendelse af offentlig nøgle) så så kan de logge ind som rodbrugeren,”Forklarede Rad.
Forskeren også skitserede tre scenarier hvor sårbarheden kunne udnyttes med succes:
Angreb #1: Målretning mod en VM på det samme undernet (~ samme projekt), mens den genstarter. Angriberen har brug for tilstedeværelse på en anden vært.
Angreb #2: Målretning mod en VM på det samme undernet (~ samme projekt), mens det forfrisker lejekontrakten (så ingen genstart er nødvendig). Dette finder sted hver halve time (1800s), making 48 windows / forsøg muligt om dagen. Da en F-klasse VM har ~ 170.000 pps (pakke pr. sekund), og en dag med unixtime + potentielle pids giver ~ 86420 potentielle XID'er, dette er en mulig angrebsvektor.
Angreb #3: Målretning mod en VM over internettet. Dette kræver, at firewallen foran offerets VM er helt åben. Sandsynligvis ikke et almindeligt scenario, men da selv webui i GCP Cloud Console har en mulighed for det, der skal være nogle virtuelle computere med denne konfiguration. I dette tilfælde skal angriberen også gætte den interne IP-adresse på VM, men siden den første VM ser ud til at blive 10.128.0.2 altid, angrebet kunne fungere, stadig.
Det er bemærkelsesværdigt, at det ikke er første gang, at den samme forsker opdager sikkerhedsfejl i Google Cloud Platform. Tidligere sårbarheder, der er oplyst af Rad, inkluderer en eskaleringsfejl til lokal rettighed i OS Config-værktøjet. og et vilkårligt kodeudførelsesproblem i den virtuelle computer, der kunne udnyttes ved at skaffe en shell i Cloud SQL-databasen.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: