Sada zakrpljena kritična sigurnosna greška koja utječe na Google Cloud Platform (GCP) Composer mogla je biti iskorištena za postizanje daljinskog izvršavanja koda na serverima u cloud-a pomoću tehnike napada na lanac nabavke koja se zove konfuzija zavisnosti.
Ranjivost je dobila kodno ime CloudImposer od strane Tenable Researcha.
“Ranjivost je mogla omogućiti hakeru da otme internu softversku ovisnost koju Google unaprijed instalira na svaki Google Cloud Composer alat za orkestraciju”, rekla je istraživačica sigurnosti Liv Matan u izvještaju koji je podijeljen za The Hacker News.
Konfuzija ovisnosti (aka napad zamjene), koju je prvi dokumentovao istraživač sigurnosti Alex Birsan u februaru 2021., odnosi se na vrstu kompromisa u lancu nabavke softvera u kojem je upravitelj paketa prevaren da izvuče zlonamjerni paket iz javnog spremišta umjesto predviđenog. fajl istog imena iz internog spremišta.
Dakle, haker mogao bi organizirati napad na lanac snabdijevanja velikih razmjera objavljivanjem krivotvorenog paketa u javnom spremištu paketa sa istim imenom kao paket koji su interno razvile kompanije i sa većim brojem verzije.
Ovo, zauzvrat, uzrokuje da menadžer paketa nesvjesno preuzme zlonamjerni paket iz javnog spremišta umjesto iz privatnog spremišta, efektivno zamjenjujući postojeću ovisnost paketa njegovim lažnim kolegom.
Problem koji je identificirao Tenable sličan je po tome što bi se mogao zloupotrijebiti za učitavanje zlonamjernog paketa u spremište Python indeksa paketa (PyPI) s imenom “google-cloud-datacatalog-lineage-producer-client”, koji bi se potom mogao unaprijed instalirati na sve Composer instance s povišenim dozvolama.
Dok Cloud Composer zahtijeva da dotični paket bude vezan za verziju (tj. verzija 0.1.0), Tenable je otkrio da korištenje argumenta “–extra-index-url” tokom komande “pip install” daje prioritet preuzimanju paketa iz javni registar, čime se otvaraju vrata konfuziji zavisnosti.
Naoružani ovom privilegijom, napadači mogu izvršiti kod, eksfiltrirati akreditive računa usluge i premjestiti se bočno u okolinu žrtve na druge GCP usluge.
Nakon odgovornog otkrivanja 18. januara 2024., Google je to popravio u maju 2024. osiguravajući da se paket instalira samo iz privatnog spremišta. Takođe je dodala dodatnu mjeru opreza provjeravanja kontrolne sume paketa kako bi se potvrdio njegov integritet i potvrdilo da nije mijenjan.
Navodi se da je Python Packaging Authority (PyPA) bio svjestan rizika koji predstavlja argument “–extra-index-url” najmanje od marta 2018. godine, pozivajući korisnike da preskoče korištenje PyPI u slučajevima kada interni paket mora biti izvukao.
“Očekuje se da paketi budu jedinstveni do imena i verzije, tako da se dva kotača s istim imenom paketa i verzijom tretiraju kao nerazlučivi prema pip-u”, primijetio je tada član PyPA. “Ovo je namjerna karakteristika metapodataka paketa i nije vjerovatno da će se promijeniti.”
Google, kao dio svoje ispravke, sada takođe preporučuje da programeri koriste argument “–index-url” umjesto argumenta “–extra-index-url” i da GCP korisnici koriste virtualno spremište registra artefakata kada zahtijevaju više spremišta.
“Argument ‘–index-url’ smanjuje rizik od napada konfuzije ovisnosti tako što samo traži pakete u registru koji su definirani kao zadana vrijednost za taj argument”, rekao je Matan.
Izvor:The Hacker News
