Эксперты выявили слабое место Google Cloud Platform, способное замаскировать действия хакеров

• 6 марта, 2023
• 16:30

Новое исследование показало, что злоумышленники могут воспользоваться «недостаточным» протоколированием системных журналов Google – одна из крупнейших технологических компаний в мире, основанная в 1998 году в США. Основной продукт компании – поисковая система Google, которая позволяет находить информацию в интернете. Компания также разрабатывает множество других продуктов, таких как электронная почта Gmail, видеохостинг YouTube, карты Google Maps и операционную систему Android для мобильных устройств. Google является одним из лидеров в области искусственного интеллекта и облачных вычислений. Компания занимает высокие позиции в рейтингах лучших работодателей в мире.

» data-html=»true» data-original-title=»Google»>Google Cloud Platform для скрытной эксфильтрации конфиденциальных данных.

Google Cloud Platform (GCP) — это облачная платформа (Virtual Private Cloud (VPC) — это виртуальная частная сеть, которую предоставляет облачный провайдер, такой как Amazon Web Services (AWS) или Google Cloud Platform (GCP). Это позволяет создавать изолированные сетевые окружения в облаке, которые могут быть сконфигурированы и управляемы пользователем.
В VPC можно создавать виртуальные машины, базы данных, хранение данных и другие сервисы, а также настраивать сетевые правила и политики безопасности.
Важно отметить, что VPC может быть настроена таким образом, что она полностью изолирована от интернета и других VPC, что обеспечивает дополнительный уровень безопасности.

» data-html=»true» data-original-title=»VPC»>VPC), предоставляемая компанией Google. Она позволяет пользователям хранить, обрабатывать и анализировать данные в облаке, а также запускать приложения и веб-сайты на серверах Google. На платформе доступны различные сервисы, такие как вычислительные мощности, хранилища данных, базы данных, средства искусственного интеллекта и многое другое.

«К сожалению, GCP не обеспечивает достаточный уровень протоколирования в своих системных журналах. А ведь оно необходимо для эффективного проведения любого криминалистического расследования. Этот факт делает экспертов кибербезопасности беспомощными в определении потенциальных атак с целью кражи данных», — говорится в отчёте компании по реагированию на облачные инциденты Mitiga — это компания, которая занимается кибербезопасностью. Компания предлагает услуги по анализу уязвимостей, мониторингу безопасности, реагированию на инциденты, а также консультации по безопасности информации.
Mitiga также предоставляет решения для обнаружения угроз и защиты от кибератак. Компания имеет офисы в разных странах и работает с клиентами по всему миру.

» data-html=»true» data-original-title=»Mitiga»>Mitiga.

Атака возможна при условии, что злоумышленник получил контроль над управлением идентификации и доступа (Identity and Access Management (IAM) — это процесс управления идентификацией и доступом пользователей к ресурсам в компьютерной системе.
IAM включает в себя управление идентификационными данными пользователей, такими как логины и пароли, а также управление доступом пользователей к приложениям, файлам, базам данных и другим ресурсам.

» data-html=»true» data-original-title=»IAM»>IAM) в целевой организации с помощью доступных ему методов. Например, при помощи социальной инженерии.

Суть уязвимости заключается в том, что журналы доступа к хранилищу GCP не обеспечивают адекватной прозрачности в отношении потенциального доступа к файлам, а также событий чтения. Вместо составления расширенного протокола событий GCP группирует их все как одно действие под названием «Получить объект».

«Одно и то же событие используется для самых разных типов доступа, в том числе: чтение файла, загрузка файла, копирование файла на внешний сервер, чтение метаданных файла и т.д.», — заявила сотрудница Mitiga.

Отсутствие различий в системных журналах может позволить злоумышленнику беспрепятственно и незаметно собирать конфиденциальные данные. Главным образом потому, что нет способа отличить злонамеренную и законную активность пользователей в системе.

В гипотетической атаке хакер может использовать интерфейс командной строки Google (gsutil) для передачи ценных данных из сегментов хранилища организации-жертвы во внешнее хранилище злоумышленника. А эксперты безопасности, даже при наличии подозрений о компрометации сети, не увидят подробностей злонамеренной активности.

Как сообщается, Google пока не исправила этот абсурдный недостаток своего продукта, однако предоставила некоторые рекомендации по смягчению последствий, которые варьируются от использования элементов управления облачными службами до использования заголовков ограничений организации для ограничения запросов к облачным ресурсам.

Информация об уязвимости была раскрыта после того, как Sysdig — это американская компания, которая специализируется на обеспечении безопасности и мониторинге цифровых систем и приложений. Она была основана в 2013 году и с тех пор стала одним из ведущих поставщиков решений в области кибербезопасности.
Основной продукт компании — это Sysdig Secure, который представляет собой платформу для обнаружения и устранения уязвимостей, мониторинга инцидентов безопасности и соответствия стандартам безопасности.