Existe una vulnerabilidad en la plataforma del motor informático de Google que los atacantes podrían aprovechar para obtener el control de las máquinas virtuales en la red.. El descubrimiento proviene del investigador de seguridad Imre Rad, quien publicó un análisis en GitHub.. Informó sobre "una vulnerabilidad sin parchear que afecta a las máquinas virtuales en la plataforma Compute Engine de Google".
¿Qué es Google Compute Engine??
Poco dicho, es un servicio informático personalizable que permite la creación y ejecución de máquinas virtuales en la infraestructura de Google. Es un componente de infraestructura como servicio de Google Cloud Platform., construido sobre la infraestructura global que ejecuta el motor de búsqueda de Google, Gmail, YouTube. El servicio permite el almacenamiento de metadatos en el servidor de metadatos., ofreciendo un punto central para colocar metadatos en pares clave-valor para las VM en tiempo de ejecución.
Relacionado: La vulnerabilidad de Google Drive podría llevar a la descarga de malware
Vulnerabilidad sin parchear en Google Compute Engine
El exploit es posible "debido a números aleatorios débiles utilizados por el software DHCP de ISC y una combinación desafortunada de factores adicionales". El ataque puede ocurrir al hacerse pasar por el servidor de metadatos desde el punto de vista de la máquina de la máquina virtual objetivo.. "Al montar este exploit, el atacante puede otorgarse acceso a sí mismo a través de SSH (autenticación de clave pública) para que puedan iniciar sesión como usuario root,"Rad explicó.
El investigador también resumió tres escenarios en el que la vulnerabilidad podría explotarse con éxito:
Ataque #1: Dirigirse a una máquina virtual en la misma subred (~ mismo proyecto), mientras se reinicia. El atacante necesita presencia en otro host.
Ataque #2: Dirigirse a una máquina virtual en la misma subred (~ mismo proyecto), mientras se actualiza el contrato de arrendamiento (por lo que no es necesario reiniciar). Esto ocurre cada media hora. (1800s), fabricación 48 ventanas / intentos posibles al día. Dado que una máquina virtual de clase F tiene ~ 170.000 pps (paquete por segundo), y un dia de unixtime + pids potenciales hace ~ 86420 XID potenciales, este es un vector de ataque factible.
Ataque #3: Dirigirse a una máquina virtual a través de Internet. Esto requiere que el firewall frente a la VM de la víctima esté completamente abierto. Probablemente no sea un escenario común, pero dado que incluso la webui de GCP Cloud Console tiene una opción para eso, debe haber bastantes máquinas virtuales con esta configuración. En este caso, el atacante también necesita adivinar la dirección IP interna de la VM., pero como parece que la primera máquina virtual 10.128.0.2 siempre, el ataque podría funcionar, todavía.
Cabe destacar que esta no es la primera vez que el mismo investigador descubre fallas de seguridad en Google Cloud Platform.. Las vulnerabilidades anteriores reveladas por Rad incluyen un error de escalada de privilegios local en la herramienta de configuración del sistema operativo. y un problema de ejecución de código arbitrario en la VM que podría aprovecharse al obtener un shell en la base de datos de Cloud SQL.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: