Tenable сподели подробности за метод за атака чрез объркване на зависимостите, който може да изложи клиентите на Google Cloud Platform (GCP) на атаки с отдалечено изпълнение на код (RCE).

Проблемът, наречен CloudImposer, би могъл да позволи на нападателите да завладеят вътрешна софтуерна зависимост, предварително инсталирана във всяка инстанция на инструмента за конвейерна оркестрация Cloud Composer на Google. Услугите App Engine и Cloud Function на GCP също бяха засегнати.

Според Tenable основната причина за проблема е използването на аргумента „-extra-index-url“ в Python, който инструктира приложенията да търсят частни зависимости в публичния регистър (PyPI), в допълнение към посочения частен регистър.

„Това поведение отваря вратата за нападателите да извършат атака за объркване на зависимостите: да качат злонамерен пакет със същото име като легитимен пакет, за да превземат процеса на инсталиране на пакета“, отбелязва Tenable.

Нападателят би могъл да се възползва и от други обстоятелства, като например факта, че „pip“, инсталаторът на пакети за Python, дава приоритет на пакета с по-висок номер на версия, когато срещне два пакета с едно и също име.

Що се отнася до Cloud Composer, нещата не бяха по-добри. Всъщност Tenable откри, че при инструкции за инсталиране само на определена версия на пакет, pip дава приоритет на публичния регистър, ако е използван аргументът -extra-index-url.

Установено е, че както документацията на Python Packaging, така и документацията на GCP препоръчват използването на аргумента „-extra-index-url“ при хостване на зависимости в частни хранилища, а доверието, което разработчиците оказват на системите за управление на пакети, отваря широко вратата за объркване на зависимостите.

Самата компания Google използва този аргумент при инсталирането на частни пакети на своите сървъри и след като идентифицира пакет, към който се препраща, но който не присъства в публичния регистър, Tenable създаде свой собствен пакет със същото име, качи го в публично хранилище и стартира атаката за объркване на зависимости срещу Cloud Composer, версията на Apache Airflow за управлявани услуги на Google.

След като успешно провери, че доказателството за концепцията (proof-of-concept – PoC) е довело до изпълнение на код на вътрешните сървъри на Google, Tenable съобщи за уязвимостта CloudImposer на интернет гиганта, който я класифицира като RCE бъг и я закърпи незабавно.

Google също така актуализира документацията си за GCP, за да премахне препоръката за използване на аргумента -extra-index-url, като го замени с аргумента -index-url, който търси пакети само в определени регистри, като по този начин намалява риска от атаки за объркване на зависимостите.

Tenable съобщи за установените проблеми и на Фондацията за софтуер Python, която заяви, че макар през февруари 2023 г. да е подаден документ за намаляване на риска от атаки за объркване на зависимости, не е прието или завършено изпълнение.

Фирмата за киберсигурност представи изследването си на конференцията BlackHat USA 2024, където обясни как уязвимост като CloudImposer може да бъде използвана, за да повлияе на взаимосвързани облачни услуги.

Точно както в играта Jenga, доставчиците на облачни услуги обикновено изграждат услугите си една върху друга, което означава, че ако една от тях бъде атакувана, всички останали услуги също ще бъдат засегнати, заяви Tenable.

 

Източник: По материали от Интернет

Подобни публикации

12 февруари 2025

Deepfake, изкуствен интелект, регулации - опред...

Снощи, 11.02.2025 г., зала ‚Йоханесбург‘ на Полиграфическия комбина...
12 февруари 2025

Несправедливата реалност на киберинцидентите

Неотдавна мой чудесен колега се контузи доста тежко по време на зим...
12 февруари 2025

SAP пуска 21 кръпки за сигурност

Производителят на корпоративен софтуер SAP обяви във вторник пускан...
12 февруари 2025

Intel поправи 374 уязвимости през 2024 г.

През календарната 2024 г. Intel е поправила общо 374 уязвимости в с...
11 февруари 2025

Ключови фигури от Phobos и 8Base са арестувани ...

Координирана международна акция на правоприлагащите органи миналата...
11 февруари 2025

Поведенчески анализ в киберсигурността: Кой има...

Тъй като разходите за нарушаване на сигурността на данните продължа...
11 февруари 2025

120 хил. жертви са компрометирани при атака с р...

В Бейнбридж, щата Джорджия, малката болница Memorial Hospital and M...
11 февруари 2025

Lee Enterprises се възстановява от кибератака

Вестникарската компания очаква разследването да отнеме известно вре...
11 февруари 2025

Над 12 000 защитни стени KerioControl са изложе...

Над дванадесет хиляди екземпляра на защитната стена GFI KerioContro...
Бъдете социални
Още по темата
12/02/2025

Intel поправи 374 уязвимост...

През календарната 2024 г. Intel е...
10/02/2025

От киберпространството към ...

Границата между виртуалните и физическите заплахи...
07/02/2025

7 стъпки към подобряване на...

В днешно време повечето аспекти на...
Последно добавени
12/02/2025

Deepfake, изкуствен интелек...

Снощи, 11.02.2025 г., зала ‚Йоханесбург‘ на...
12/02/2025

Несправедливата реалност на...

Неотдавна мой чудесен колега се контузи...
12/02/2025

SAP пуска 21 кръпки за сигу...

Производителят на корпоративен софтуер SAP обяви...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!