Es gibt eine Schwachstelle in der Compute Engine-Plattform von Google, die Angreifer ausnutzen können, um die Kontrolle über virtuelle Maschinen über das Netzwerk zu erlangen. Die Entdeckung stammt vom Sicherheitsforscher Imre Rad, der eine Analyse auf GitHub veröffentlicht hat. Er berichtete über „eine ungepatchte Sicherheitslücke, die virtuelle Maschinen in der Compute Engine-Plattform von Google betrifft“.
Was ist Google Compute Engine??
Kurz gesagt, Es handelt sich um einen anpassbaren Computing-Dienst, der das Erstellen und Ausführen von virtuellen Maschinen in der Infrastruktur von Google ermöglicht. Es ist eine Infrastructure-as-a-Service-Komponente der Google Cloud Platform, basiert auf der globalen Infrastruktur, die die Suchmaschine von Google betreibt, Gmail, YouTube. Der Dienst ermöglicht die Speicherung von Metadaten im Metadatenserver, bietet einen zentralen Punkt, um Metadaten in Schlüssel-Wert-Paaren für die VMs zur Laufzeit zu platzieren.
verbunden: Die Sicherheitsanfälligkeit in Google Drive kann zum Herunterladen von Malware führen
Ungepatchte Sicherheitslücke in Google Compute Engine
Der Exploit sei „aufgrund schwacher Zufallszahlen, die von der ISC-DHCP-Software verwendet werden, und einer unglücklichen Kombination zusätzlicher Faktoren“ möglich. Der Angriff kann erfolgen, indem die Identität des Metadatenservers aus Sicht der Maschine der Ziel-VM angenommen wird. „Durch die Montage dieses Exploits mounting, der Angreifer kann sich über SSH selbst Zugriff gewähren (Authentifizierung mit öffentlichem Schlüssel) Dann können sie sich als Root-Benutzer anmelden,“Rad erklärte.
Der Forscher auch skizzierte drei Szenarien in dem die Schwachstelle erfolgreich ausgenutzt werden konnte:
Attacke #1: Targeting auf eine VM im selben Subnetz (~gleiches Projekt), während es neu startet. Der Angreifer benötigt Präsenz auf einem anderen Host.
Attacke #2: Targeting auf eine VM im selben Subnetz (~gleiches Projekt), während es den Mietvertrag aktualisiert (Es ist also kein Neustart erforderlich). Das findet jede halbe Stunde statt (1800s), Herstellung 48 Fenster/Versuche pro Tag möglich. Da eine VM der F-Klasse ~170.000 pps hat (Paket pro Sekunde), und ein tag unixtime + potenzielle pids ergeben ~86420 potenzielle XIDs, Dies ist ein möglicher Angriffsvektor.
Attacke #3: Targeting einer VM über das Internet. Dies erfordert, dass die Firewall vor der Opfer-VM vollständig geöffnet ist. Wahrscheinlich kein übliches Szenario, aber da hat auch das Webui der GCP Cloud Console eine Option dafür, es muss einige VMs mit dieser Konfiguration geben. In diesem Fall muss der Angreifer auch die interne IP-Adresse der VM erraten, aber da scheint die erste VM zu bekommen 10.128.0.2 immer, der Angriff könnte funktionieren, immer noch.
Es ist bemerkenswert, dass dies nicht das erste Mal ist, dass derselbe Forscher Sicherheitslücken in der Google Cloud Platform entdeckt. Frühere Sicherheitslücken, die von Rad offengelegt wurden, beinhalten einen Fehler bei der lokalen Rechteausweitung im OS Config-Tool. und ein Problem mit der Ausführung willkürlichen Codes in der VM, das durch Abrufen einer Shell in der Cloud SQL-Datenbank ausgenutzt werden könnte.