Googleのコンピューティングエンジンプラットフォームには、攻撃者がネットワーク経由で仮想マシンの制御を取得するために悪用する可能性のある脆弱性があります. この発見は、GitHubで分析を公開したセキュリティ研究者のImreRadによるものです。. 彼は、「GoogleのComputeEngineプラットフォームの仮想マシンに影響を与えるパッチが適用されていない脆弱性」について報告しました。
GoogleComputeEngineとは何ですか?
すぐに言った, これは、Googleのインフラストラクチャ上で仮想マシンを作成して実行できるようにするカスタマイズ可能なコンピューティングサービスです。. これは、GoogleCloudPlatformのサービスとしてのインフラストラクチャコンポーネントです, Googleの検索エンジンを実行するグローバルインフラストラクチャ上に構築, Gmail, YouTube. このサービスにより、メタデータサーバーにメタデータを保存できます, 実行時にVMのキーと値のペアにメタデータを配置するための中心点を提供します.
関連している: Googleドライブの脆弱性は、マルウェアのダウンロードにつながる可能性があります
GoogleComputeEngineのパッチが適用されていない脆弱性
このエクスプロイトは、「ISC DHCPソフトウェアで使用される乱数が弱く、不幸なことに追加の要因が組み合わさったために」発生する可能性があります。攻撃は、ターゲットVMのマシンの観点からメタデータサーバーになりすますことによって発生する可能性があります. 「このエクスプロイトを実装することで, 攻撃者はSSH経由で自分自身へのアクセスを許可できます (公開鍵認証) したがって、rootユーザーとしてログインできます,」ラッドは説明した.
研究者も 3つのシナリオの概要 脆弱性が悪用される可能性がある:
攻撃 #1: 同じサブネット上のVMをターゲットにする (〜同じプロジェクト), 再起動中. 攻撃者は別のホストに存在する必要があります.
攻撃 #2: 同じサブネット上のVMをターゲットにする (〜同じプロジェクト), リースを更新している間 (したがって、再起動は必要ありません). これは30分ごとに行われます (1800s), 作る 48 窓/一日の試み. FクラスのVMには約170.000ppsがあるため (1秒あたりのパケット数), とunixtimeの日 + 潜在的なpidは約86420の潜在的なXIDになります, これは実行可能な攻撃ベクトルです.
攻撃 #3: インターネット経由でVMをターゲットにする. これには、被害者のVMの前にあるファイアウォールが完全に開いている必要があります. おそらく一般的なシナリオではありません, ただし、GCPCloudConsoleのwebuiにもそのオプションがあるため, この構成ではかなりの数のVMが必要です. この場合、攻撃者はVMの内部IPアドレスも推測する必要があります, しかし、最初のVMは 10.128.0.2 いつも, 攻撃はうまくいく可能性があります, まだ.
同じ研究者がGoogleCloudPlatformのセキュリティ上の欠陥を発見したのはこれが初めてではないことは注目に値します. Radによって開示された以前の脆弱性には、OSConfigツールのローカル権限昇格のバグが含まれます. クラウドSQLデータベースでシェルを取得することで悪用される可能性のあるVMでの任意のコード実行の問題.