Investigadores de ciberseguridad han revelado una vulnerabilidad de escalada de privilegios que afecta el servicio de Cloud Functions de Google Cloud Platform y que un atacante podría explotar para acceder a otros servicios y datos sensibles de manera no autorizada.
Según Tenable, la vulnerabilidad se llama ConfusedFunction. La empresa de gestión de exposición advirtió que un atacante podría escalar sus privilegios a la cuenta de servicio de Cloud Build predeterminada y acceder a numerosos servicios, lo que permitiría el movimiento lateral y la escalada de privilegios en el proyecto de la víctima para acceder a datos no autorizados e incluso actualizarlos o borrarlos.
Cloud Functions es un entorno de ejecución sin servidor que permite a los desarrolladores crear funciones con un solo propósito que se activan en respuesta a eventos específicos de Cloud sin necesidad de administrar un servidor o actualizar marcos de trabajo.
La vulnerabilidad radica en que se crea una cuenta de servicio de Cloud Build en segundo plano y se vincula a una instancia de Cloud Build de forma predeterminada cuando se crea o actualiza una Cloud Function. Esta cuenta de servicio expone el riesgo de actividades maliciosas debido a sus permisos excesivos, lo que permitiría a un atacante escalar sus privilegios a la cuenta de servicio.
Estos permisos podrían ser abusados para acceder a otros servicios de Google Cloud que se crean junto con la Cloud Function, incluido Cloud Storage, Artifact Registry y Container Registry. En un escenario de ataque hipotético, ConfusedFunction podría ser explotado para filtrar el token de la cuenta de servicio de Cloud Build a través de un webhook.
Tras la divulgación responsable, Google ha actualizado el comportamiento predeterminado de manera que Cloud Build utilice la cuenta de servicio predeterminada de Compute Engine para evitar el mal uso. Sin embargo, estos cambios no se aplican a las instancias existentes.
La investigadora de Tenable Liv Matan señaló que la vulnerabilidad de ConfusedFunction destaca los escenarios problemáticos que pueden surgir debido a la complejidad del software y la comunicación entre servicios en los servicios de un proveedor de nube. La experta advirtió que aunque la solución de GCP ha reducido la gravedad del problema para implementaciones futuras, no lo ha eliminado por completo.
Esto se debe a que la implementación de una Cloud Function todavía desencadena la creación de los mencionados servicios de GCP, lo que obliga a los usuarios a asignar permisos mínimos, pero relativamente amplios, a la cuenta de servicio de Cloud Build como parte de la implementación de una función.
El descubrimiento de esta vulnerabilidad surge después de que Outpost24 detallara una vulnerabilidad de secuencias de comandos entre sitios (XSS) de gravedad media en la Plataforma de Integración en la Nube de Oracle. La falla fue resuelta por Oracle en su actualización crítica de parches (CPU) publicada este mes.
La plataforma de computación en la nube ServiceNow también ha sido objeto de atención debido al descubrimiento de tres vulnerabilidades de seguridad por Assetnote (CVE-2024-4879, CVE-2024-5178 y CVE-2024-5217) que podrían ser utilizadas para obtener acceso completo a la base de datos y ejecutar código arbitrario en el contexto de la Plataforma Now.
Vía The Hacker News