Il existe une vulnérabilité dans la plate-forme du moteur de calcul de Google que les attaquants pourraient exploiter pour obtenir le contrôle des machines virtuelles sur le réseau. La découverte vient du chercheur en sécurité Imre Rad qui a publié une analyse sur GitHub. Il a signalé "une vulnérabilité non corrigée affectant les machines virtuelles sur la plate-forme Compute Engine de Google".
Qu'est-ce que Google Compute Engine?
Peu dit, c'est un service de calcul personnalisable qui permet la création et l'exécution de machines virtuelles sur l'infrastructure de Google. Il s'agit d'un composant d'infrastructure en tant que service de la plate-forme Google Cloud, construit sur l'infrastructure mondiale qui exécute le moteur de recherche de Google, Gmail, YouTube. Le service permet le stockage des métadonnées dans le serveur de métadonnées, offrant un point central pour placer les métadonnées dans les paires clé-valeur pour les machines virtuelles au moment de l'exécution.
en relation: La vulnérabilité de Google Drive pourrait entraîner le téléchargement de logiciels malveillants
Vulnérabilité non corrigée dans Google Compute Engine
L'exploit est possible "en raison des faibles nombres aléatoires utilisés par le logiciel DHCP ISC et d'une combinaison malheureuse de facteurs supplémentaires". L'attaque peut se produire en usurpant l'identité du serveur de métadonnées du point de vue de la machine de la machine virtuelle ciblée. « En montant cet exploit, l'attaquant peut s'autoriser l'accès via SSH (authentification par clé publique) alors ils peuvent se connecter en tant qu'utilisateur root," Rad a expliqué.
Le chercheur a aussi décrit trois scénarios dans laquelle la vulnérabilité pourrait être exploitée avec succès:
Attaque #1: Cibler une VM sur le même sous-réseau (~même projet), pendant qu'il redémarre. L'attaquant a besoin d'être présent sur un autre hôte.
Attaque #2: Cibler une VM sur le même sous-réseau (~même projet), pendant qu'il rafraichit le bail (donc aucun redémarrage n'est nécessaire). Cela a lieu toutes les demi-heures (1800s), fabrication 48 fenêtres/tentatives possibles par jour. Puisqu'une VM de classe F a ~170.000 pps (paquet par seconde), et un jour d'unixtime + les pids potentiels font ~86420 XID potentiels, c'est un vecteur d'attaque faisable.
Attaque #3: Cibler une VM sur Internet. Cela nécessite que le pare-feu devant la machine virtuelle victime soit complètement ouvert. Ce n'est probablement pas un scénario courant, mais comme même l'interface Web de GCP Cloud Console a une option pour cela, il doit y avoir pas mal de VM avec cette configuration. Dans ce cas, l'attaquant doit également deviner l'adresse IP interne de la VM, mais depuis la première VM semble obtenir 10.128.0.2 toujours, l'attaque pourrait fonctionner, encore.
Il est à noter que ce n'est pas la première fois que le même chercheur découvre des failles de sécurité dans Google Cloud Platform. Les vulnérabilités précédentes divulguées par Rad incluent un bogue d'élévation des privilèges locaux dans l'outil OS Config. et un problème d'exécution de code arbitraire dans la VM qui pourrait être exploité en obtenant un shell sur la base de données Cloud SQL.