In molte occasioni ci imbattiamo in vulnerabilità che possono influenzare il corretto funzionamento delle apparecchiature e dei sistemi che utilizziamo. Questa volta è una falla di sicurezza che mette Macchine virtuali Google Cloud a rischio . Un gruppo di ricercatori sulla sicurezza informatica ha scoperto questo problema che potrebbe essere sfruttato e consentire l'accesso indesiderato da parte di un intruso con permessi di root.
Un bug mette a rischio Google Cloud
La sezione gruppo di ricercatori sulla sicurezza , che hanno pubblicato tutti i dettagli tecnici su GitHub , hanno indicato che si tratta di una vulnerabilità che consente il phishing. Un utente malintenzionato potrebbe assumere il controllo di una macchina virtuale sulla piattaforma Google Cloud in rete. Ciò può verificarsi a causa di numeri casuali deboli utilizzati dal software ISC sul client DHCP.
Quello che fa fondamentalmente è parodia il server dei metadati sulla macchina virtuale di destinazione. Questo è il modo in cui l'attaccante può ottenere le autorizzazioni di amministratore e avere accesso tramite SSH.
Perché ciò accada, mostrano i ricercatori della sicurezza, si compone di tre componenti. Uno di questi è l'ora univoca corrente in cui inizia il processo, un altro è l'algoritmo di controllo del processo dhclient e il terzo è la somma degli ultimi quattro byte degli indirizzi MAC delle schede di rete.
Indicano che uno di questi tre componenti è pubblico, poiché le ultime cifre dell'indirizzo MAC corrispondono alle ultime cifre dell'indirizzo IP interno. Anche il Algoritmo di controllo del processo dhclient è prevedibile, poiché il kernel Linux lo mappa in modo lineare. Inoltre, non hanno trovato troppi problemi a prevedere l'ora in cui avviare il processo.
L'attaccante dovrebbe creare diversi pacchetti DHCP e utilizzare una serie di XID precalcolati. In questo modo riesce ad inondare il dhclient della vittima. Nel caso in cui XID sia corretto, la macchina virtuale applicherà le impostazioni di rete. Potrebbe riconfigurare lo stack di rete della vittima.
In quali scenari potrebbe attaccare la macchina virtuale
Inoltre, questo gruppo di ricercatori sulla sicurezza ha indicato in quali scenari sarebbe possibile per un utente malintenzionato prendere di mira una macchina virtuale. Hanno mostrato tre possibili scenari con cui potrebbero ottenere l'accesso completo.
Uno di questi scenari è quando stai puntando alla macchina virtuale sul stessa sottorete durante il riavvio . Per questo, l'attaccante avrebbe bisogno della presenza di un altro host.
Un'altra possibilità è che punti a una macchina virtuale sulla stessa sottorete, mentre il contratto di locazione viene aggiornato , qualcosa che non richiederebbe un riavvio. Questo accade ogni mezz'ora.
La terza possibilità è attaccare la macchina virtuale su Internet. Ciò richiederebbe che la vittima firewall be completamente aperto . Sarebbe uno scenario improbabile, come indicano. Inoltre, dovresti indovinare l'indirizzo IP interno della vittima.
Questo gruppo di ricercatori sulla sicurezza ha creato un proof of concept che possiamo vedere su GitHub . Al di là risoluzione degli errori durante il caricamento di file su Drive o qualsiasi servizio cloud, dobbiamo anche essere consapevoli dell'importanza di installare tutte le patch disponibili. In questo modo possiamo evitare guasti di questo tipo.
