Google Cloud solucionó una vulnerabilidad de la interfaz de programación de aplicaciones (API) potencialmente peligrosa en su plataforma que, si hubiera sido explotada por actores maliciosos, podría haber provocado violaciones de datos generalizadas en múltiples nubes públicas.
Apodado Asset Key Thief y divulgado a través de investigadores de SADA, una consultoría de seguridad en la nube con sede en California y oficinas del Reino Unido en Dorset, el error se descubrió el 7 de febrero de 2023 y se informó a través del Programa de recompensas por vulnerabilidad de Google el mismo día. Después de algunas idas y venidas, Google aceptó la vulnerabilidad el 23 de febrero y se solucionó y verificó el 14 de marzo.
“Apoyar a nuestros clientes a medida que transforman sus organizaciones en la nube significa una vigilancia constante en lo que respecta a la seguridad”, dijo Miles Ward, director de tecnología de SADA.
“Ninguna nube pública es inmune a las vulnerabilidades, y todos debemos actuar rápido, colaborar abiertamente y comunicarnos de manera transparente cuando detectamos una vulnerabilidad.
“Felicitamos a Google Cloud por la rapidez y la profundidad con la que respondieron cuando les informamos sobre este error”, dijo. “Estamos orgullosos del trabajo que realizan los ingenieros de SADA para garantizar que los datos de nuestros clientes permanezcan seguros”.
La vulnerabilidad en sí existía en la API de inventario de activos en la nube y estaba relacionada con un mecanismo de acceso persistente conocido como claves privadas de la cuenta de servicio, y afectaba a todos los clientes de Google Cloud que habían habilitado la API con permisos específicos otorgados (cloudasset.assets.searchAllResources) en el correspondiente ambiente por un tiempo limitado.
En la práctica, esto significaba que cualquier persona con el permiso necesario podía usar un comando específico del SDK de gcloud para filtrar el material de la clave privada de una cuenta de servicio en el entorno de Google Cloud que se creó o rotó en las 12 horas anteriores, y asumir la identidad y permisos asociados con dicha cuenta.
Evaluación de impacto
Si la vulnerabilidad se hubiera explotado en la naturaleza, su impacto habría variado según los permisos de las cuentas explotadas.
El equipo de SADA planteó tres escenarios potenciales que pueden haberse desarrollado:
- En el primer escenario, el robo de una clave privada de una cuenta de servicio de nivel de organización utilizada para el aprovisionamiento de infraestructura como código asignado al rol de propietario “demasiado permisivo” le daría a un actor malintencionado acceso a prácticamente todos los recursos y datos en el entorno de la víctima;
- En el segundo escenario, el robo de una clave privada de una cuenta de servicio predeterminada asignada al rol de Editor le daría a un atacante acceso a todos los recursos en el proyecto de esa persona, o le permitiría realizar más actividades, como activar criptomineros ilícitos, acumular cargos adicionales sustanciales para la víctima;
- En el tercer escenario, el robo de una clave privada de una Cuenta de servicio que tenía la capacidad de asumir la identidad de otras Cuentas de servicio en una estructura de administración centralizada, quizás por razones de soporte técnico, habría permitido que un atacante encadenara el acceso a través de varias Cuentas de servicio. hasta dar con uno que tenía acceso a datos confidenciales de clientes.
Aunque se solucionó la vulnerabilidad, SADA aún recomienda que los usuarios de Google Cloud analicen las posibles ocurrencias de la técnica de explotación, busquen un comportamiento anormal de la cuenta de servicio y roten las claves administradas por el usuario de su cuenta de servicio.
Si su entorno de Google Cloud tiene registros de acceso a datos habilitados para la actividad ADMIN_READ en la API de Cloud Asset Inventory, también podrá buscar instancias de explotación. Además, el servicio Google Cloud Security Command Center Premium incluye detectores integrados para detectar comportamientos anormales que pueden haber surgido a través de la vulnerabilidad.