谷歌云被曝重大漏洞,或影響數百萬臺服務器
責編:gltian |2024-09-19 14:35:529月16日,美國網絡安全公司Tenable的研究人員發文稱,其發現了名為“CloudImposer”的遠程代碼執行(RCE)漏洞,攻擊者可能利用該漏洞劫持影響GCP(Google Cloud Composer,谷歌云平臺上的一項托管式工作流程編排服務)的內部軟件依賴項。
云中的供應鏈攻擊
具體來說,該漏洞用于編排軟件管道,但它也影響了Google服務App Engine和Cloud Function。Tenable稱,該漏洞造成了一種稱為依賴關系混淆的場景,該技術幾年前就已發現,但時至今日依然被云平臺提供商廣泛誤解。
2021年,安全研究員Alex Birsan首次發現了依賴項混淆攻擊——當攻擊者創建惡意軟件包,為其提供與合法內部包相同的名稱,并將其發布到公共存儲庫時,依賴項混淆攻擊就會開始。
“當開發人員的系統或構建過程錯誤地拉取惡意包而不是預期的內部包時,攻擊者就會獲得對系統的訪問權限。”Tenable高級安全研究員Liv Matan在分析中解釋道,“這種攻擊利用了開發人員對包管理系統的信任,并可能導致未經授權的代碼執行或數據泄露。”
他補充說:“令人驚訝和擔憂的是,即使是像Google這樣的領先的技術供應商,也缺乏對如何防止依賴關系混淆的認識。不幸的是,這種類型的依賴關系可以被利用在云中執行供應鏈攻擊,這些攻擊‘比本地攻擊的危害要大得多’。”
“例如,云服務中的一個惡意包可以部署到數百萬用戶并造成傷害。”Matan觀察到。因此,從本質上講,GCP中的一個錯誤命令可能會在無數云部署中產生連鎖反應,使攻擊者能夠訪問客戶的企業云環境。
有風險的文檔導致缺陷
Tenable稱,該漏洞的第一個跡象是關于GCP和Python軟件基金會的Google文檔,該文檔在云部署中引入了依賴關系混淆的可能性。研究人員進一步挖掘發現,Google本身對GCP應用了相同的風險實施建議,從而引入了漏洞。
具體來說,Google建議想要在GCP服務App Engine、Cloud Function和Cloud Composer服務中使用私有Python包的用戶使用所謂的“–extra-index-url”參數。
“除了應用程序或用戶打算從中安裝私有依賴項的指定私有注冊表之外,此參數還查找公共注冊表(PyPI),”Matan解釋說,“這種行為為攻擊者進行依賴關系混淆攻擊打開了大門。”
研究人員推斷,有“眾多GCP客戶”遵循了Google的風險實施建議,并最終發現Google在自己的內部服務中安裝私有軟件包時,也采用了自己的建議。
具體來說,Tenable研究人員發現,Google使用有風險的–extra-index-url參數來安裝公共注冊表中缺少的私有代碼包,允許攻擊者將惡意包上傳到公共注冊表,并接管管道。
Google修復和其他緩解措施
據Tenable稱,研究人員負責任地向Google披露了文檔和Cloud Imposer RCE漏洞,后者迅速做出響應并采取行動。
具體來說,谷歌修復了Google Cloud Composer中存在的漏洞,該漏洞在從私有注冊表安裝私有包時使用了“–extra-index-url”參數。
Google還檢查了易受攻擊的軟件包實例的校驗和,并通知Tenable,據Google所知,沒有證據表明Cloud Imposer曾被利用過。
Google還確認,雖然Tenable發現的漏洞利用代碼在Google的內部服務器中運行,但它很可能不會在客戶環境中運行,因為它無法通過集成測試。
此外,Google修復了有風險的文檔,現在建議GCP客戶使用“–index-url”參數替代“–extra-index-url”參數,并且這家科技巨頭已經采納了Tenable的建議,建議GCP客戶使用GCP Artifact Registry的虛擬存儲庫來安全地控制Python包管理器的搜索順序。
GCP客戶應分析其軟件包安裝過程的環境,以防止違規,特別是在Python中搜索–extra-index-url參數的使用,以確保他們不易受到依賴項混淆攻擊。
Matan總結道:“云提供商和云客戶將負責任的安全實踐相結合,可大大減輕與云供應鏈攻擊相關的風險。”
來源|Tenable官網、Dark Reading
編譯|鄭惠敏
審核|張羽翔