Er is een kwetsbaarheid in het Compute Engine-platform van Google dat aanvallers kunnen misbruiken om controle te krijgen over virtuele machines via het netwerk. De ontdekking komt van beveiligingsonderzoeker Imre Rad die een analyse publiceerde op GitHub published. Hij rapporteerde over "een niet-gepatchte kwetsbaarheid die virtuele machines in het Compute Engine-platform van Google treft."
Wat is Google Compute Engine??
Kort gezegd, het is een aanpasbare rekenservice waarmee virtuele machines op de infrastructuur van Google kunnen worden gemaakt en uitgevoerd. Het is een infrastructuur-as-a-service-component van het Google Cloud Platform, gebouwd op de wereldwijde infrastructuur waarop de zoekmachine van Google draait, Gmail, YouTube. De service maakt de opslag van metadata op de metadataserver mogelijk, een centraal punt bieden om metadata tijdens runtime in sleutel-waardeparen voor de VM's te plaatsen.
Verwant: Kwetsbaarheid van Google Drive kan leiden tot het downloaden van malware
Ongepatchte kwetsbaarheid in Google Compute Engine
De exploit is mogelijk "vanwege zwakke willekeurige getallen die worden gebruikt door de ISC DHCP-software en een ongelukkige combinatie van extra factoren." De aanval kan plaatsvinden door zich voor te doen als de metadataserver vanuit het oogpunt van de machine van de beoogde VM. “Door deze exploit te monteren, de aanvaller kan zichzelf toegang verlenen via SSH (authenticatie met openbare sleutel) dus dan kunnen ze inloggen als de root-gebruiker,Rad legde uit.
De onderzoeker ook schetste drie scenario's waarin de kwetsbaarheid met succes kan worden misbruikt:
Aanval #1: Een VM op hetzelfde subnet targeten (~ hetzelfde project), terwijl het opnieuw opstart. De aanvaller heeft aanwezigheid op een andere host nodig.
Aanval #2: Een VM op hetzelfde subnet targeten (~ hetzelfde project), terwijl het de huurovereenkomst vernieuwt (dus opnieuw opstarten is niet nodig). Dit vindt elk half uur plaats (1800s), making 48 ramen/pogingen per dag mogelijk. Aangezien een F-klasse VM ~170.000 pps heeft (pakket per seconde), en een dag Unixtime + potentiële pids maakt ~86420 potentiële XID's, dit is een haalbare aanvalsvector.
Aanval #3: Een VM via internet targeten. Dit vereist dat de firewall voor de slachtoffer-VM volledig open is. Waarschijnlijk geen gebruikelijk scenario, maar aangezien zelfs de webui van GCP Cloud Console daar een optie voor heeft, er moeten nogal wat VM's zijn met deze configuratie. In dit geval moet de aanvaller ook het interne IP-adres van de VM raden, maar sinds de eerste VM lijkt te krijgen 10.128.0.2 altijd, de aanval zou kunnen werken, nog.
Het is opmerkelijk dat dit niet de eerste keer is dat dezelfde onderzoeker beveiligingsfouten in Google Cloud Platform ontdekt. Eerdere kwetsbaarheden die door Rad zijn onthuld, omvatten een lokale privilege-escalatiebug in de OS Config-tool. en een willekeurig code-uitvoeringsprobleem in de VM dat kan worden misbruikt door een shell op de Cloud SQL-database te verkrijgen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: