В Google Cloud Platform (GCP) была серьезная ошибка, которая позволяла хакерам удаленно выполнять вредоносный код на миллионах серверов и базовых систем. Уязвимость была обнаружена исследователями кибербезопасности из компании Tenable, которые сообщили о своих выводах в Google. Сейчас компания решила проблему и ликвидировала пробел.
Согласно пресс-релизу, сопровождающему ТехРадар Про Ранее на этой неделе исследователи Tenable обнаружили так называемую уязвимость «путаницы зависимостей» и назвали ее «CloudImposer».
Уязвимость могла позволить злоумышленникам выполнить код на «потенциально миллионах серверов GCP и системах их клиентов», говорится в сообщении. App Engine, Cloud Function и Cloud Composer больше всего подвержены этой уязвимости.
Радиус взрыва «огромный»
Уязвимость была обнаружена в процессе установки зависимостей Composer GCP, который позволял злоумышленникам загружать вредоносный пакет в PyPI, который затем был предварительно установлен на всех экземплярах Composer — с высокими привилегиями.
Это может привести к тому, что злоумышленники будут удаленно выполнять код, собирать учетные данные учетной записи службы и переходить к другим службам GCP.
Компания Tenable сообщила, что ее исследователи обнаружили уязвимость при проведении углубленного анализа документации GCP и Python Software Foundation. Эта уязвимость могла привести к атакам на цепочки поставок в облаке, которые, по их словам, могут быть «экспоненциально более разрушительными», чем локальные среды. Поскольку один вредоносный пакет может быстро распространиться по нескольким сетям, риску могут подвергнуться миллионы людей.
«Радиус взрыва CloudImposer огромен», — комментирует Лив Матан, старший инженер-исследователь компании Tenable. «Обнаружив и раскрыв эту уязвимость, мы закрыли важную дверь, которую злоумышленники могли использовать в больших масштабах».
Тенабл также воспользовался возможностью, чтобы раскритиковать Google за «ужасную неосведомленность и превентивные меры» против техники атак, которая «известна уже много лет».
Больше от TechRadar Pro
