Investigadores de ciberseguridad han revelado una vulnerabilidad de escalada de privilegios que afecta al servicio Cloud Functions de Google Cloud Platform y que un atacante podría explotar para acceder a otros servicios y datos confidenciales de manera no autorizada.
Tenable le ha dado a la vulnerabilidad el nombre ConfusedFunction.
«Un atacante podría escalar sus privilegios a la cuenta de servicio predeterminada de Cloud Build y acceder a numerosos servicios como Cloud Build, almacenamiento (incluido el código fuente de otras funciones), registro de artefactos y registro de contenedores», dijo la empresa de gestión de exposición en un comunicado.
«Este acceso permite el movimiento lateral y la escalada de privilegios en el proyecto de una víctima, para acceder a datos no autorizados e incluso actualizarlos o eliminarlos».
Cloud Functions se refiere a un entorno de ejecución sin servidor que permite a los desarrolladores crear funciones de propósito único que se activan en respuesta a eventos específicos de la nube sin la necesidad de administrar un servidor o actualizar marcos.
El problema descubierto por Tenable tiene que ver con el hecho de que una cuenta de servicio Cloud Build se crea en segundo plano y se vincula a una instancia de Cloud Build de forma predeterminada cuando se crea o actualiza una Cloud Function.
Esta cuenta de servicio abre la puerta a una posible actividad maliciosa debido a sus permisos excesivos, lo que permite que un atacante con acceso para crear o actualizar una función en la nube aproveche esta laguna y escale sus privilegios a la cuenta de servicio.
Este permiso podría utilizarse de forma abusiva para acceder a otros servicios de Google Cloud que también se crean en conjunto con Cloud Function, como Cloud Storage, Artifact Registry y Container Registry. En un escenario de ataque hipotético, ConfusedFunction podría aprovecharse para filtrar el token de la cuenta de servicio de Cloud Build a través de un webhook.
Tras una divulgación responsable, Google ha actualizado el comportamiento predeterminado de modo que Cloud Build utilice la cuenta de servicio predeterminada de Compute Engine para evitar un uso indebido. Sin embargo, cabe señalar que estos cambios no se aplican a las instancias existentes.
«La vulnerabilidad ConfusedFunction resalta los escenarios problemáticos que pueden surgir debido a la complejidad del software y la comunicación entre servicios en los servicios de un proveedor de nube», afirmó la investigadora de Tenable Liv Matan.
«Si bien la corrección de GCP redujo la gravedad del problema para futuras implementaciones, no lo eliminó por completo. Esto se debe a que la implementación de una función de Cloud Function aún desencadena la creación de los servicios de GCP antes mencionados. Como resultado, los usuarios aún deben asignar permisos mínimos, pero relativamente amplios, a la cuenta de servicio de Cloud Build como parte de la implementación de una función».
El desarrollo surge luego de que Outpost24 detallara una falla de secuencias de comandos entre sitios (XSS) de gravedad media en Oracle Integration Cloud Platform que podría usarse para inyectar código malicioso en la aplicación.
La falla, que tiene su origen en el manejo del parámetro «consumer_url», fue resuelta por Oracle en su Actualización de Parche Crítico (CPU) publicada a principios de este mes.
«La página para crear una nueva integración, que se encuentra en https://.integration.ocp.oraclecloud.com/ic/integration/home/faces/link?page=integration&consumer_url=, no requirió ningún otro parámetro», dijo el investigador de seguridad Filip Nyquist .
«Esto significaba que un atacante solo tendría que identificar el identificador de instancia de la plataforma de integración específica para enviar una carga útil funcional a cualquier usuario de la plataforma. En consecuencia, el atacante podría eludir el requisito de conocer un identificador de integración específico, al que normalmente solo pueden acceder los usuarios que han iniciado sesión».
También sigue el descubrimiento de Assetnote de tres vulnerabilidades de seguridad en la plataforma de computación en la nube ServiceNow (CVE-2024-4879, CVE-2024-5178 y CVE-2024-5217) que podrían transformarse en una cadena de explotación para obtener acceso completo a la base de datos y ejecutar código arbitrario dentro del contexto de la plataforma Now.
Fuente y redacción: thehackernews.com
