Hubo un gran defecto en Google plataforma en la nube (GCP) que podría haber permitido a los piratas informáticos operarla código malicioso La falla fue descubierta por investigadores de ciberseguridad de Tenable, quienes informaron sus hallazgos a Google. Desde entonces, la empresa abordó el problema y cerró la laguna jurídica.
De acuerdo a presione soltar Compartido con Tecnología Radar Pro A principios de esta semana, los investigadores de Tenable descubrieron lo que se conoce como una vulnerabilidad de “confusión de dependencia”, a la que denominaron CloudImposer.
Dijeron que la falla podría haber permitido a los actores de amenazas ejecutar código en “millones de servidores de GCP y sus sistemas cliente”. Se dice que App Engine, Cloud Function y Cloud Composer son los más afectados por esta vulnerabilidad.
El radio de la explosión es “enorme”.
La falla se encontró en el proceso de instalación de la dependencia Composer de GCP, que permitía a los atacantes cargar un paquete malicioso en PyPI, que luego se preinstalaría en todas las instancias de Composer, con permisos elevados.
Como resultado, los actores maliciosos pueden ejecutar código de forma remota, filtrar credenciales de cuentas de servicio y moverse horizontalmente a otros servicios de GCP.
Tenable dijo que sus investigadores descubrieron la falla mientras realizaban un análisis en profundidad de documentos tanto de GCP como de Python Software Foundation. La vulnerabilidad podría haber provocado ataques a la cadena de suministro. nubes Lo cual, dijeron, podría ser “significativamente más dañino” que en los entornos locales. Debido a que un solo paquete malicioso puede propagarse rápidamente a través de múltiples redes, millones de personas podrían estar en riesgo.
“El alcance de la explosión causada por CloudImposer es enorme”, comentó Liv Matan, ingeniera principal de investigación de Tenable. “Al descubrir y revelar esta vulnerabilidad, cerramos una puerta clave que podría haber sido explotada por atacantes a escala”.
Tenable también aprovechó para criticar a Google por su “asombrosa falta de concienciación y de medidas preventivas” contra lo que describió como “una técnica de ataque que se conoce desde hace años”.