A Tenable revelou que sua equipe de pesquisa, Tenable Research, descobriu uma vulnerabilidade crítica de execução remota de código (RCE), chamada CloudImposer, que poderia ter permitido a atacantes mal-intencionados executar código em potencialmente milhões de servidores do Google Cloud Platform (GCP) e nos sistemas de seus clientes. Essa vulnerabilidade destaca uma lacuna significativa de segurança nos serviços do Google Cloud, impactando especificamente o App Engine, Cloud Function, e Cloud Composer.
A descoberta resulta de uma análise aprofundada da documentação tanto do GCP quanto da Python Software Foundation, revelando que esses serviços eram vulneráveis a um ataque à cadeia de suprimentos conhecido como confusão de dependências. Embora essa técnica de ataque seja conhecida há vários anos, a pesquisa da Tenable mostra uma alarmante falta de conscientização e medidas preventivas contra ela, mesmo entre grandes provedores de tecnologia, como o Google.
Criticidade da brecha
Ataques à cadeia de suprimentos na nuvem podem ser exponencialmente mais prejudiciais do que em ambientes locais. Um único pacote malicioso em um serviço em nuvem pode se espalhar por vastas redes, afetando milhões de usuários. A vulnerabilidade CloudImposer demonstra as consequências de longo alcance desses ataques, enfatizando a necessidade crítica de que tanto os provedores de nuvem quanto os clientes implementem medidas de segurança robustas.
“O raio de impacto do CloudImposer é imenso. Ao descobrir e divulgar essa vulnerabilidade, fechamos uma porta importante que os atacantes poderiam ter explorado em larga escala. Compartilhar essa pesquisa aumenta a conscientização e aprofunda o entendimento sobre esse tipo de vulnerabilidade, aumentando a probabilidade de que elas sejam corrigidas ou descobertas antes”, disse Liv Matan, engenheiro sênior de pesquisa da Tenable.
“Além disso, destacamos conceitos mais amplos que os usuários de nuvem devem estar cientes para se defender contra riscos semelhantes e a crescente superfície de ataque. Essa pesquisa capacita a comunidade de segurança e os profissionais ofensivos a identificar vulnerabilidades e configurações incorretas semelhantes”, acrescenta.
A segurança na nuvem requer um esforço colaborativo entre provedores e clientes. A Tenable incentiva os usuários da nuvem a analisar seus ambientes e revisar seus processos de instalação de pacotes — em particular o argumento –extra-index-url no Python — para mitigar os riscos de confusão de dependências. Após a divulgação da Tenable, o Google reconheceu e corrigiu o problema.
