En muchas ocasiones nos topamos con vulnerabilidades que pueden afectar al buen funcionamiento de los equipos y sistemas que usamos. En esta ocasión se trata de un fallo de seguridad que pone en riesgo las máquinas virtuales de Google Cloud. Un grupo de investigadores de ciberseguridad ha encontrado este problema que podría ser explotado y permitir el acceso indeseado de un intruso con permisos como root.
Un fallo pone en riesgo Google Cloud
Este grupo de investigadores de seguridad, que ha publicado todos los detalles técnicos en GitHub, ha indicado que se trata de una vulnerabilidad que permite la suplantación de identidad. Un atacante podría apoderarse de una máquina virtual de la plataforma de Google Cloud a través de la red. Esto puede ocurrir debido a números aleatorios débiles que son utilizados por el software ISC en el cliente DHCP.
Lo que hace básicamente es suplantar el servidor de metadatos en la máquina virtual de destino. Es así como podría el atacante conseguir permisos como administrador y tener acceso a través de SSH.
Para que esto ocurra, según muestran los investigadores de seguridad, consta de tres componentes. Uno de ellos es el tiempo único actual cuando se inicia el proceso, otro es el algoritmo de control del proceso dhclient y el tercero es la suma de los últimos cuatro bytes de las direcciones MAC de las tarjetas de red.
Indican que uno de esos tres componentes es público, ya que los últimos dígitos de la dirección MAC corresponden con los últimos de la dirección IP interna. Además, el algoritmo de control del proceso dhclient es predecible, ya que el kernel de Linux lo asigna de forma lineal. Tampoco encontraron demasiados problemas para predecir el tiempo único al iniciar el proceso.
El atacante tendría que crear diferentes paquetes DHCP y usar un conjunto de XID precalculados. De esta forma logra inundar el dhclient de la víctima. En caso de que ese XID sea correcto, la máquina virtual aplicaría la configuración de red. Podría reconfigurar la pila de red de la víctima.
En qué escenarios podrían atacar la máquina virtual
También, este grupo de investigadores de seguridad han indicado en qué escenarios sería posible para un atacante realmente apuntar a una máquina virtual. Han mostrado tres escenarios posibles con los que podrían obtener acceso completo.
Uno de esos escenarios es cuando apunta a la máquina virtual en la misma subred mientras se reinicia. Para ello el atacante necesitaría la presencia de otro host.
Otra posibilidad es que apunte a una máquina virtual en la misma subred, mientras se actualiza la concesión, algo que no haría necesario el reinicio. Esto ocurre cada media hora.
La tercera posibilidad es atacar la máquina virtual a través de Internet. Para ello sería necesario que el firewall de la víctima estuviera completamente abierto. Sería un escenario poco probable, como así lo indican. Además, necesitaría adivinar la dirección IP interna de la víctima.
Este grupo de investigadores de seguridad han creado una prueba de concepto que podemos ver en GitHub. Más allá de solucionar fallos al subir archivos a Drive o a cualquier servicio en la nube, debemos también ser conscientes de la importancia de instalar todos los parches que haya disponibles. De esta forma podremos evitar fallos de este tipo.
