Säkerhetsforskare upptäcker ett fel i Google Cloud

Säkerhetsforskare upptäcker ett fel i Google Cloud

Vid många tillfällen stöter vi på sårbarheter som kan påverka att utrustningen och systemen vi använder fungerar korrekt. Den här gången är det en säkerhetsfel som sätter Google Cloud virtuella maskiner i riskzonen. En grupp cybersäkerhetsforskare har hittat detta problem som kan utnyttjas och tillåta oönskad åtkomst av en inkräktare med rotbehörigheter.

Ett fel riskerar Google Cloud

Denna grupp säkerhetsforskare , som har publicerat alla tekniska detaljer på GitHub , har angett att det är en sårbarhet som tillåter nätfiske. En angripare kan ta över en virtuell maskin på Google Cloud-plattformen över nätverket. Detta kan uppstå på grund av svaga slumpmässiga nummer som används av ISC-programvaran på DHCP-klienten.

Vad det i grund och botten gör är spolat metadataservern på den virtuella målmaskinen. Så här kan angriparen få administratörsbehörighet och ha åtkomst via SSH.

För att detta ska hända, visar säkerhetsforskare, att det består av tre komponenter. En av dem är den aktuella unika tiden när processen startar, en annan är dhclient-processkontrollalgoritmen och den tredje är summan av de sista fyra bytes av nätverkskortens MAC-adresser.

De indikerar att en av dessa tre komponenter är offentlig, eftersom de sista siffrorna i MAC-adressen motsvarar de sista siffrorna i den interna IP-adressen. Även dhclient-processkontrollalgoritm är förutsägbar, eftersom Linux-kärnan kartlägger den linjärt. De hittade inte för mycket problem med att förutsäga den enda gången för att starta processen.

Angriparen måste skapa olika DHCP-paket och använd en uppsättning förberäknade XID. På detta sätt lyckas den översvämma offrets dhclient. Om XID är korrekt skulle den virtuella maskinen tillämpa nätverksinställningarna. Det kan omkonfigurera offrets nätverksstack.

Huvudsakliga sårbarheter

I vilka scenarier kan den virtuella maskinen attackera

Denna grupp säkerhetsforskare har också angett i vilka scenarier det skulle vara möjligt för en angripare att faktiskt rikta in sig på en virtuell maskin. De har visat tre möjliga scenarier som de kan få full tillgång till.

Ett sådant scenario är när du pekar på den virtuella maskinen på samma undernät vid omstart . För detta skulle angriparen behöva närvaron av en annan värd.

En annan möjlighet är att den pekar på en virtuell maskin i samma undernät, medan hyresavtalet uppdateras , något som inte kräver en omstart. Detta händer var halvtimme.

Den tredje möjligheten är att attackera den virtuella maskinen via Internet. Detta skulle kräva att offrets brandvägg be helt öppen . Det skulle vara ett osannolikt scenario, som de antyder. Du måste också gissa offrets interna IP-adress.

Denna grupp säkerhetsforskare har skapat ett bevis på koncept som vi kan se på GitHub . Bortom lösa fel när du laddar upp filer till Drive eller någon molntjänst måste vi också vara medvetna om vikten av att installera alla tillgängliga korrigeringar. På detta sätt kan vi undvika fel av denna typ.