Forkert konfiguration af Google Cloud Platform API kan lede en proces, der kan udnyttes til kompromittering af tjenesten.
Mærkelige og potentielt farlige procesgange inden for Google Cloud Platformen (GCP) blev afsløret af cloud-sikkerhedsfirmaet Mitiga i torsdags. Hvis GCP ikke er konfigureret korrekt, kan det udnyttes af angribere til at engagere sig i ødelæggende aktivitet inde i en brugers skymiljø, ifølge en blog, der er lagt ud på det israelske selskabs hjemmeside.
Funktionsmåden er knyttet til en af de API’er, der bruges af Google Cloud. API’en giver brugerne mulighed for at hente data fra serielle porte, men ved at oprette en virtuel maskine i skyen kan data også løbende skrives til portene.
På grund af den måde som Google Cloud klassificerer trafikken på, får administratorer desuden ikke meget synlighed i den. Hvis en hacker udnytter processen, kan deres konstante opkald til portene kan forlede dem til tro på at alt er OK, forklare Mitiga.
Angribere kan få kommando-og-kontrol-funktioner
Et andet observeret ved Google Cloud, der blev bemærket af Mitiga, var den måde, det giver brugerne mulighed for at ændre metadata under kørsel. Andre cloud-udbydere giver også brugerne den strøm, men kun når en virtuel maskine lukkes ned.
Virtuelle Google-maskiner giver brugerne mulighed for at indstille tilpassede metadatatags med tilpassede værdier og som standard læse disse værdier fra en metadataserver. Sammen med den læste serielle portfunktion, sagde Mitiga, oprettes en fuld feedback-loop, der kan give angribere kommando-og-kontrol-kapaciteter.
Virksomheden illustrerede også, hvordan malware kunne bruge API’en til at opnå fuld administrativ adgang til et system. Ved at bruge en kommando til at konfigurere en virtuel maskine til at bruge brugerdata, når VM’en starter, kan angribere skrive et script, der skal indlæses under kørsel og tage kontrol over et system.
Mitiga skitserede nogle angrebsscenarier, der stammer fra dets resultater:
- En hacker kan få adgang til Google Cloud-legitimationsoplysninger med passende API-tilladelser til både setMetadata og getSerialPortOutput på en eller flere VM’er.
- Ved hjælp af traditionelle netværksbaserede metoder til lateral bevægelse kan angriberen installere malware på systemet, der kommunikerer ved hjælp af cloud API.
- Angriberen kan sende kommandoer til offermaskinen ved at indsætte dem i brugerdefinerede metadata ved hjælp af en forudbestemt nøgle.
- Offersystemet kan løbende læse nøglen på udkig efter kommandoer, og når en er fundet, kommandoen udføres, og output sendes til en forudbestemt seriel port.
- Modstanderen læser løbende fra den serielle port og venter på at modtage kommandoens output.
En skjult måde at opretholde adgangen til kompromitterede systemer på
Andrew Johnston, en ledende Mitiga-konsulent skriver: “Forudsat at du følger alle de andre sikkerhedsretningslinjer – gemmes legitimationsoplysninger korrekt.” Han fortsætter: “Problemet er, at de ting er lettere sagt end gjort. Skulle en hacker få adgang til en Google Cloud-konto med de rette tilladelser, kan de bruge denne angrebsvektor til at få adgang til systemer. Virkningen af dette kommer fra, at det er en skjult måde at opretholde adgangen til et kompromitteret system,” Det er ikke noget, der ville udløse alarmer i et standard SOC-miljø.”
Selvom Mitiga ikke har fundet ABI-adfærden udnyttet i naturen, siger Johnston, at det er vigtigt at få oplysningerne til Google Cloud-samfundet.
“Sofistikerede angribere er godt klar over en række angrebsvektorer, der ikke er tilgængelige for offentligheden. Den bedste måde at afvæbne grupper på er at identificere disse teknikker og offentliggøre dem, fordi når organisationer er opmærksomme, kan de forbedre deres overtrædelsesberedskab.”
Kilde: CSOonline
Foto: Pexels