Eine kritische Remote-Code-Execution-Schwachstelle (RCE) namens CloudImposer hätte es bösartigen Akteuren möglich machen können, Millionen von Google Cloud Platform Servern (GCP) und Kundensystemen zu infizieren.
Das Tenable Research Team hat eine kritische Remote-Code-Execution-Schwachstelle (RCE) namens CloudImposer entdeckt, die es böswilligen Akteuren hätte ermöglichen können, Code auf potenziell Millionen von Google Cloud Platform Servern (GCP) und Kundensystemen auszuführen. Die Schwachstelle weist auf eine schwerwiegende Sicherheitslücke in den Google Cloud Diensten hin, die insbesondere App Engine, Cloud Function und Cloud Composer betrifft.
Die Entdeckung geht auf eine sorgfältige Analyse der Dokumentation von GCP und der Python Software Foundation zurück, die zeigte, dass diese Dienste anfällig für einen als „Dependency Confusion“ bekannten Supply-Chain-Angriff waren. Obwohl diese Angriffstechnik seit mehreren Jahren bekannt ist, offenbaren die Untersuchungen von Tenable einen erschreckenden Mangel an Bewusstsein und Präventivmaßnahmen, selbst bei großen Tech-Anbietern wie Google.
Cloud-Attacken sind deutlich gefährlicher
Supply-Chain-Angriffe in der Cloud können exponentiell mehr Schaden anrichten als in On-Prem-Umgebungen. Ein einziges schädliches Paket in einem Cloud-Dienst kann sich über riesige Netzwerke verbreiten und Millionen von Nutzern erreichen. Die CloudImposer Schwachstelle veranschaulicht die weitreichenden Folgen solcher Angriffe und unterstreicht die dringende Notwendigkeit sowohl für Cloud-Anbieter als auch Kunden, robuste Sicherheitsmaßnahmen zu implementieren.
„Das Schadenspotenzial von CloudImposer ist immens. Durch die Entdeckung und Veröffentlichung dieser Schwachstelle haben wir ein Einfallstor geschlossen, das Angreifer auf breiter Front hätten ausnutzen können“, erklärt Liv Matan, Senior Research Engineer bei Tenable. „Die Veröffentlichung dieser Forschungsergebnisse schärft das Bewusstsein und vertieft das Verständnis dieser Art von Schwachstellen – und erhöht damit die Wahrscheinlichkeit, dass sie schneller gepatcht oder entdeckt werden. Außerdem verdeutlicht sie übergeordnete Konzepte, die Cloud-Nutzer kennen sollten, um sich für ähnliche Risiken und die dynamische Angriffsfläche zu wappnen. Diese Forschungsergebnisse ermöglichen es der Security-Community und Offensive-Security-Experten, ähnliche Schwachstellen und Fehlkonfigurationen zu identifizieren.“
Wichtigste Erkenntnis:
Cloud-Sicherheit erfordert die Zusammenarbeit von Anbietern und Kunden. Tenable empfiehlt Cloud-Nutzern dringend, ihre Umgebungen zu analysieren und ihre Paketinstallationsprozesse zu überprüfen – insbesondere das Argument –extra-index-url in Python –, um das Risiko von Dependency Confusion zu minimieren.
Nach der Veröffentlichung durch Tenable hat Google die Schwachstelle bestätigt und behoben.
Direkt zum Report auf Tenable.com
Über Tenable Tenable ist ein Cyber Exposure-Unternehmen. Weltweit vertrauen über 24.000 Unternehmen auf Tenable, um Cyberrisiken zu verstehen und zu reduzieren. Die Erfinder von Nessus haben ihre Expertise im Bereich Vulnerabilities in Tenable.io kombiniert und liefern die branchenweit erste Plattform, die Echtzeit-Einblick in alle Assets auf jeder beliebigen Computing-Plattform gewährt und diese Assets sichert. Der Kundenstamm von Tenable umfasst 53 Prozent der Fortune 500, 29 Prozent der Global 2000 und große Regierungsstellen.