À de nombreuses reprises, nous rencontrons vulnérabilités pouvant affecter le bon fonctionnement des équipements et des systèmes que nous utilisons. Cette fois, c'est une faille de sécurité qui met Machines virtuelles Google Cloud à risque. Un groupe de chercheurs en cybersécurité a découvert ce problème qui pourrait être exploité et permettre un accès indésirable par un intrus avec des autorisations root.
Un bug met Google Cloud en danger
Ce groupe de chercheurs en sécurité , qui ont publié tous les détails techniques sur GitHub , ont indiqué qu'il s'agit d'une vulnérabilité permettant le phishing. Un attaquant pourrait s'emparer d'une machine virtuelle sur la plate-forme Google Cloud via le réseau. Cela peut se produire en raison de nombres aléatoires faibles utilisés par le logiciel ISC sur le client DHCP.
Ce qu'il fait fondamentalement, c'est parodie le serveur de métadonnées sur la machine virtuelle cible. C'est ainsi que l'attaquant pourrait obtenir des autorisations d'administrateur et avoir accès via SSH.
Pour que cela se produise, les chercheurs en sécurité montrent qu'il se compose de trois composants. L'un d'eux est l'heure unique actuelle de démarrage du processus, un autre est l'algorithme de contrôle de processus dhclient et le troisième est la somme des quatre derniers octets des adresses MAC des cartes réseau.
Ils indiquent que l'un de ces trois composants est public, puisque les derniers chiffres de l'adresse MAC correspondent aux derniers chiffres de l'adresse IP interne. Également algorithme de contrôle de processus dhclient est prévisible, car le noyau Linux le mappe de manière linéaire. Ils n'ont pas non plus eu trop de mal à prédire le moment unique pour démarrer le processus.
L'agresseur devra créer différents paquets DHCP et utilisez un ensemble de XID précalculés. De cette façon, il parvient à inonder le dhclient de la victime. Si XID est correct, la machine virtuelle appliquera les paramètres réseau. Cela pourrait reconfigurer la pile réseau de la victime.
Dans quels scénarios la machine virtuelle pourrait-elle attaquer
De plus, ce groupe de chercheurs en sécurité a indiqué dans quels scénarios il serait possible pour un attaquant de cibler réellement une machine virtuelle. Ils ont montré trois scénarios possibles avec lesquels ils pourraient obtenir un accès complet.
Un de ces scénarios est lorsque vous pointez vers la machine virtuelle sur le même sous-réseau lors du redémarrage . Pour cela, l'attaquant aurait besoin de la présence d'un autre hôte.
Une autre possibilité est qu'il pointe vers une machine virtuelle sur le même sous-réseau, pendant la mise à jour du bail , quelque chose qui ne nécessiterait pas de redémarrage. Cela se produit toutes les demi-heures.
La troisième possibilité consiste à attaquer la machine virtuelle via Internet. Cela exigerait que la victime pare-feu be complètement ouvert . Ce serait un scénario improbable, comme ils l'indiquent. En outre, vous devrez deviner l'adresse IP interne de la victime.
Ce groupe de chercheurs en sécurité a créé une preuve de concept que nous pouvons voir sur GitHub . Au-delà résoudre les erreurs lors de l'importation de fichiers dans Drive ou tout service cloud, nous devons également être conscients de l'importance d'installer tous les correctifs disponibles. De cette façon, nous pouvons éviter des échecs de ce type.
