Търсене
Close this search box.

Рискът от злоупотреба с „Dataproc“ на Google Cloud застрашава корпоративните хранилища на данни

Хакерите имат нов начин да злоупотребяват с облака, като този път на прицел са анализатори на данни и учени.

Слабият контрол на сигурността в една от облачните услуги на Google за учени, занимаващи се с данни, може да позволи на хакери да създават приложения, да извършват операции и да имат достъп до данни в среди, насочени към интернет.

Проблемът е свързан с услугата „Dataproc“ на Google Cloud – управлявана услуга за изпълнение на мащабни задачи за обработка на данни и анализ чрез Apache Hadoop, Spark и повече от 30 други инструменти и рамки с отворен код.

Така нареченият „риск от злоупотреба“ с Dataproc, очертан от Orca Research Pod на 12 декември, се основава на наличието на два отворени порта на защитната стена по подразбиране, използвани от Dataproc. Ако нападателят успее да постигне първоначално компрометиране на сървъра в открита облачна среда (например чрез обща неправилна конфигурация), той може да се възползва от липсващите проверки за сигурност, за да достигне до свързаните ресурси, като например масивите от чувствителни данни на учените, занимаващи се с данни. Освен това те могат да си играят със своите облачни среди по безброй други начини.

„Можем да си представим, че данните, използвани за анализ, вероятно съдържат както патентовани, така и чувствителни данни, които, ако бъдат пробити, биха могли да предоставят на лошите играчи данни за клиентите, бизнес информация и други данни, които биха могли да се използват за конкурентно разузнаване“, казва Рой Нисими, изследовател на облачни заплахи в Orca Security.

Разкрити данни в частен облак по подразбиране

Проблемите на Dataproc започват с факта, че двата му уеб интерфейса, използвани за всеки главен възел – YARN ResourceManager на порт 8088 и NameNode на разпределената файлова система Hadoop (HDFS) на Apache на порт 9870 – не изискват никаква автентикация.

„Двата порта, споменати по-горе, се обслужват за всички адреси“, според Orca. „Което означава, че за да имате пълен достъп до тях, единственото необходимо условие е достъпът до интернет. Така че един неправилно сегментиран клъстер може да причини големи щети“.

Що се отнася до конкретния потенциален път за атака, изследователите отбелязват, че той е „доста прост“.

Google Cloud се доставя в пакет с виртуален частен облак (VPC) по подразбиране, наречен Compute Engine, който, макар да ограничава повечето входящи връзки, не ограничава никакви връзки в рамките на вътрешната подмрежа на организацията. Така че, ако нападател може да пробие и изпълни код в VPC по подразбиране – да речем, ако той е оставен отворен към интернет – той има път за достъп до клъстерите Dataproc, тъй като тези два интерфейса са оставени отворени по подразбиране.

„Сега нападателят може да направи тунел през компрометираната машина, за да получи достъп до двата уеб интерфейса“, обясняват изследователите. „Те могат да използват крайната точка YARN, за да създават приложения, да изпращат задачи и да извършват операции за съхранение в облака. … Или още по-лошо, те могат да използват крайната точка HDFS, за да преглеждат файловата система за съхранение и да получат пълен достъп до чувствителни данни.“

Резултатът, както обясняват изследователите: „Наличието на насочен към интернет отдалечено изпълнение на код (RCE) – уязвим екземпляр на Compute Engine, не е далеч от реалността.“

Изследователите са занесли откритията си в Google, но проблемът все още не е разрешен. Google също не е отговорила на молбата на Dark Reading за коментар по тази история.

Нисими казва, че Google може да приложи поправка доста лесно. „Потенциалните решения биха предотвратили неавтентифициран достъп до уеб интерфейсите на клъстера“, обяснява той. „Например Google би могла да активира удостоверяването по подразбиране в основното управлявано решение с отворен код (OSS), така че GCP Dataproc да позволява само удостоверен достъп.“

Orca признава, че документацията на Google за Dataproc подчертава този потенциален риск за сигурността и предлага да се избягват отворени правила на защитната стена в публична мрежа, но „те не отчитат риска нападателят вече да е получил първоначална опора в инстанция на Compute Engine – което би му дало и неавтентифициран достъп до GCP Dataproc“, се казва в публикацията на Orca.

Избягване на киберрискове при изложени Dataproc

За да се справят с тези възможности, изследователите препоръчват на администраторите на Dataproc да практикуват ефективно управление на уязвимостите и да сегментират правилно своите мрежи, като създават независими клъстери в различни подмрежи, без кръстосано замърсяване с други услуги. Администраторите могат също така да коригират правилата на защитната стена или да се преместят в други VPC.

Освен ако самата Google не приложи някаква поправка, изследователите пишат, че „от самите организации зависи да гарантират, че техните GCP Dataproc клъстери не са конфигурирани по начин, който ги прави уязвими“.

 

Източник: DARKReading

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
Бъдете социални
Още по темата
15/04/2024

За проблемите с работната с...

  За проблемите с работната сила...
13/04/2024

Latrodectus продължава там,...

Брокерите за първоначален достъп използват новия...
10/04/2024

Chrome Enterprise дава Prem...

Google обяви нова версия на своя...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!