Pesquisadores de segurança cibernética divulgaram uma vulnerabilidade de escalonamento de privilégios que afeta o serviço Cloud Capabilities do Google Cloud Platform, que um invasor pode explorar para acessar outros serviços e dados confidenciais de maneira não autorizada.
A Tenable deu à vulnerabilidade o nome de ConfusedFunction.
“Um invasor pode aumentar seus privilégios para a conta padrão do Cloud Construct Service e acessar vários serviços, como Cloud Construct, armazenamento (incluindo o código-fonte de outras funções), registro de artefatos e registro de contêineres”, disse a empresa de gerenciamento de exposição em um comunicado.
“Esse acesso permite movimentação lateral e escalonamento de privilégios no projeto da vítima, para acessar dados não autorizados e até mesmo atualizá-los ou excluí-los.”
Cloud Capabilities refere-se a um ambiente de execução sem servidor que permite aos desenvolvedores criar funções de propósito único que são acionadas em resposta a eventos específicos da nuvem sem a necessidade de gerenciar um servidor ou atualizar estruturas.
O problema descoberto pela Tenable tem a ver com o fato de que uma conta de serviço do Cloud Construct é criada em segundo plano e vinculada a uma instância do Cloud Construct por padrão quando uma Cloud Operate é criada ou atualizada.
Essa conta de serviço abre portas para possíveis atividades maliciosas devido às suas permissões excessivas, permitindo assim que um invasor com acesso para criar ou atualizar uma Função de Nuvem aproveite essa brecha e escale seus privilégios para a conta de serviço.
Essa permissão poderia então ser abusada para acessar outros serviços do Google Cloud que também são criados em conjunto com a Cloud Operate, incluindo Cloud Storage, Artifact Registry e Container Registry. Em um cenário de ataque hipotético, o ConfusedFunction poderia ser explorado para vazar o token da conta do serviço Cloud Construct por meio de um webhook.
Após a divulgação responsável, o Google atualizou o comportamento padrão de forma que o Cloud Construct use a conta de serviço padrão do Compute Engine para evitar uso indevido. No entanto, vale a pena observar que essas alterações não se aplicam a instâncias existentes.
“A vulnerabilidade ConfusedFunction destaca os cenários problemáticos que podem surgir devido à complexidade do software program e à comunicação entre serviços nos serviços de um provedor de nuvem”, disse a pesquisadora da Tenable, Liv Matan.
“Embora a correção do GCP tenha reduzido a gravidade do problema para implantações futuras, ela não o eliminou completamente. Isso ocorre porque a implantação de uma Cloud Operate ainda aciona a criação dos serviços do GCP mencionados anteriormente. Como resultado, os usuários ainda devem atribuir permissões mínimas, mas ainda relativamente amplas, à conta de serviço do Cloud Construct como parte da implantação de uma função.”
O desenvolvimento ocorre no momento em que o Outpost24 detalhou uma falha de cross-site scripting (XSS) de média gravidade na Oracle Integration Cloud Platform que poderia ser usada como arma para injetar código malicioso no aplicativo.
A falha, que está enraizada no tratamento do parâmetro “consumer_url”, foi resolvida pela Oracle em sua Atualização Crítica de Patch (CPU) lançada no início deste mês.
“A página para criar uma nova integração, encontrada em https://
“Isso significava que um invasor precisaria apenas identificar o instance-id da plataforma de integração específica para enviar um payload funcional para qualquer usuário da plataforma. Consequentemente, o invasor poderia ignorar o requisito de saber um ID de integração específico, que normalmente é acessível apenas a usuários logados.”
Isso também ocorre após a descoberta pela Assetnote de três vulnerabilidades de segurança na plataforma de computação em nuvem ServiceNow (CVE-2024-4879, CVE-2024-5178 e CVE-2024-5217) que podem ser transformadas em uma cadeia de exploração para obter acesso whole ao banco de dados e executar código arbitrário no contexto da plataforma Now.
Desde então, as deficiências do ServiceNow têm sido exploradas ativamente por agentes de ameaças desconhecidos como parte de uma “campanha de reconhecimento international” projetada para coletar detalhes de bancos de dados, como listas de usuários e credenciais de contas, de instâncias suscetíveis.
A atividade, que tem como alvo empresas de vários setores da indústria, como energia, knowledge facilities, desenvolvimento de software program e entidades governamentais no Oriente Médio, pode ser utilizada para “espionagem cibernética e outros alvos”, disse a Resecurity.
A ServiceNow, em uma declaração compartilhada com o The Hacker Information, disse que “não observou evidências de que a atividade (…) esteja relacionada a instâncias hospedadas pela ServiceNow.
“Nós encorajamos nossos clientes auto-hospedados e hospedados pelo ServiceNow a aplicar patches relevantes, caso ainda não o tenham feito. Também continuaremos a trabalhar diretamente com clientes que precisam de assistência para aplicar esses patches. É importante observar que essas não são novas vulnerabilidades, mas foram previamente abordadas e divulgadas em CVE-2024-4879, CVE-2024-5217 e CVE-2024-5178.”
(A história foi atualizada após a publicação para incluir detalhes sobre a exploração ativa de falhas do ServiceNow.)
