在最近的一次安全事件中,谷歌云平台 (GCP) 的 CloudSQL 服务发现了一项漏洞,该漏洞可能允许恶意用户从基本的 CloudSQL 用户提升为完整的系统管理员,并获取内部 GCP 数据,包括机密、敏感文件、密码和客户数据。
在 Dig Security 的博客文章 中,研究人员表示,他们在发现这些漏洞后,按照协调披露的规范与谷歌进行沟通,并迅速解决了所有问题。这一问题未被分配 CVE;在绝大多数云服务的案例中,修复漏洞的责任主要在于云提供商,常规安全团队在这方面的作用有限。
Dig Security 的研究人员表示,他们通过 GCP 安全层的一处缺口发现了这一漏洞。这一漏洞使他们能够提升初始权限,并将用户添加到 DbRootRole 角色,这是一个 GCP 管理员角色。角色权限架构中的另一个关键配置错误也使得研究人员得以进一步提升权限,最终授予他们系统管理员角色。随后,他们突破了障碍,获得了对 SQL Server 的完全控制。
一旦他们完全控制了数据库引擎,Dig Security 的研究人员便可以访问承载数据库的操作系统。在此时,他们能够获取主机操作系统中的敏感文件,列出文件和敏感路径,读取密码并提取机器上的机密。
Tanium 的首席安全顾问 Timothy Morris 阐释了产品和服务之间的模糊界限。他表示,漏洞不一定与软件产品的源代码相关,攻击者可以利用由于配置错误所导致的漏洞。因此,任何提供软件即服务的供应商,包括云提供商,都是通过预构建的服务提供,可能使用各种硬件和软件组合。Morris 说:“不使用 CVE 过程来披露漏洞的情况并不罕见,具体数字不太清楚,但早前只有约 50 的漏洞才会被分配 CVE。我预计这个数字在服务方面会更少。了解所购买的服务以及构成该服务的各个组件尽可能重要。配置错误依然是云数据泄露的主要原因。”
苹果npv加速器Vulcan Cyber 的高级技术工程师 Mike Parkin 补充说,权限提升在几乎任何情况下都可能成为潜在问题,因为它允许用户获得他们不应该拥有的权限。Parkin 表示,尽管这项来自 Dig Security 的研究很有趣,但是缺乏细节,未说明他们如何提升权限。他提到:“听起来他们只是用基本的 SQL 命令将用户添加到更高权限组,但没有足够的细节来说明。”
关于为什么没有 CVE,Parkin 表示:“这似乎是发生在云基础设施层面的问题,只有云提供商自己才能修复。用户无法修补、改变配置或以其他方式减轻或补救这个漏洞。这是一个特定供应商内部平台的非常特殊的漏洞。”
