Há uma vulnerabilidade na plataforma do Compute Engine do Google que os invasores podem explorar para obter o controle das máquinas virtuais na rede. A descoberta vem do pesquisador de segurança Imre Rad, que publicou uma análise no GitHub. Ele relatou sobre “uma vulnerabilidade não corrigida que afeta as máquinas virtuais na plataforma Compute Engine do Google”.
O que é Google Compute Engine?
disse brevemente, é um serviço de computação personalizável que permite a criação e execução de máquinas virtuais na infraestrutura do Google. É um componente de infraestrutura como serviço do Google Cloud Platform, construído na infraestrutura global que executa o mecanismo de pesquisa do Google, Gmail, Youtube. O serviço permite o armazenamento de metadados no servidor de metadados, oferecendo um ponto central para colocar metadados em pares de valor-chave para as VMs em tempo de execução.
relacionado: Vulnerabilidade do Google Drive pode levar ao download de malware
Vulnerabilidade sem correção no Google Compute Engine
A exploração é possível "devido aos números aleatórios fracos usados pelo software DHCP do ISC e uma combinação infeliz de fatores adicionais" O ataque pode acontecer personificando o servidor de metadados do ponto de vista da máquina VM visada. “Montando este exploit, o invasor pode conceder acesso a si mesmo por SSH (autenticação de chave pública) então eles podem fazer o login como o usuário root,”Rad explicou.
O pesquisador também delineou três cenários em que a vulnerabilidade pode ser explorada com sucesso:
Ataque #1: Segmentar uma VM na mesma sub-rede (~ mesmo projeto), enquanto ele está reiniciando. O invasor precisa da presença em outro host.
Ataque #2: Segmentar uma VM na mesma sub-rede (~ mesmo projeto), enquanto está atualizando o contrato (então nenhuma reinicialização é necessária). Isso acontece a cada meia hora (1800s), fazer 48 janelas / tentativas possíveis por dia. Já que um VM classe F tem ~ 170.000 pps (pacote por segundo), e um dia de unixtime + potenciais pids fazem ~ 86420 potenciais XIDs, este é um vetor de ataque viável.
Ataque #3: Segmentar uma VM pela Internet. Isso requer que o firewall na frente da VM da vítima esteja totalmente aberto. Provavelmente não é um cenário comum, mas já que até mesmo o webui do GCP Cloud Console tem uma opção para isso, deve haver algumas VMs com esta configuração. Neste caso, o invasor também precisa adivinhar o endereço IP interno da VM, mas como a primeira VM parece obter 10.128.0.2 sempre, o ataque poderia funcionar, ainda.
Vale ressaltar que esta não é a primeira vez que o mesmo pesquisador descobre falhas de segurança no Google Cloud Platform. Vulnerabilidades anteriores divulgadas pela Rad incluem um bug de escalonamento de privilégio local na ferramenta OS Config. e um problema de execução de código arbitrário na VM que pode ser explorado com a obtenção de um shell no banco de dados Cloud SQL.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: