O Google corrigiu recentemente uma falha crítica no serviço de banco de dados Cloud SQL que poderia ter sido explorada para acessar dados confidenciais e violar outros serviços em nuvem.
Em 25 de maio, Dig Security pesquisadores descobriram esta lacuna de segurança no serviço CloudSQL do GCP, permitindo acesso não autorizado a vários mecanismos de banco de dados como:-
- MySQL
- PostgreSQL
- servidor SQL
Falha no serviço SQL do Google Cloud
Ofrir Balassiano e Ofrir Shaty da Dig Security divulgaram que: –
“A exploração da vulnerabilidade concedeu-lhes a capacidade de elevar privilégios e atribuir um usuário à função DbRootRole altamente privilegiada no GCP.”
Aproveitando uma configuração incorreta crítica na arquitetura de funções e permissões, eles aumentaram seus privilégios.
Eles obtiveram uma função de administrador de sistema, garantindo-lhes controle total sobre o servidor SQL e permitir o acesso ao sistema operacional subjacente.
Os pesquisadores afirmaram que ganharam a capacidade de recuperar arquivos confidenciais, visualizar caminhos privilegiados, extrair senhas e acessar segredos do sistema operacional host.
Eles também destacaram o potencial para uma maior escalação para outros ambientes através dos agentes de serviço subjacentes.
Além disso, a Dig Security descobriu a falha no serviço de banco de dados Cloud SQL do Google em fevereiro e notificou o Google.
Depois de serem notificados, o Google corrigiu prontamente o problema em abril e recompensou os pesquisadores da Dig Security com uma recompensa por bug em seu programa de recompensa por bug.
Além disso, os analistas de segurança também descobriram outra falha crucial na estrutura de permissões, permitindo-lhes elevar privilégios e conceder aos seus usuários a cobiçada função de “administrador de sistemas”.
O acesso não autorizado a dados internos, como segredos, URLs e senhas, representa um risco de segurança significativo, conforme demonstrado pela capacidade de obter informações confidenciais de Imagem do Docker do Google repositório antes que o problema fosse resolvido e o acesso IP não interno fosse restrito.
Cronogramas de pesquisa
Aqui abaixo, mencionamos os cronogramas completos da pesquisa: –
- 5 de fevereiro de 2023: Vulnerabilidade do GCP CloudSQL descoberta pela equipe de pesquisa da Dig.
- 13 de fevereiro de 2023: O programa de recompensa por vulnerabilidade do Google identificou atividades e contatou a equipe de pesquisa do Dig.
- Durante abril de 2023: A vulnerabilidade foi abordada e resolvida com sucesso.
- 25 de abril de 2023: Especialistas foram recompensados pelo programa GCP VRP.
A implantação de uma solução de gerenciamento de segurança e privacidade de dados (DSPM) pode proteger as organizações contra vulnerabilidades, identificando e protegendo seus dados mais confidenciais por meio de criptografia, contendo possíveis violações e minimizando a exposição.
