Ein Unternehmen für Cloud-Exposure-Management hat eine Privilege-Escalation-Schwachstelle in Google Cloud Composer (GCP) namens ConfusedComposer entdeckt. Die Schwachstelle ermöglicht es Angreifern mit Bearbeitungsrechten in Cloud Composer, ihre Berechtigungen auszuweiten und Zugriff auf ein hochprivilegiertes Servicekonto mit weitreichenden Rechten innerhalb von GCP zu erlangen.
Cloud Composer verwendet Cloud Build, einen vollständig gemanagten CI/CD-Service in GCP, um benutzerdefinierte PyPI-Pakete zu installieren. Dabei kommt standardmäßig ein hochprivilegiertes Cloud Build Servicekonto zum Einsatz. Den Erkenntnissen von Tenable Research zufolge könnten Angreifer mit Bearbeitungsrechten in Cloud Composer diesen Prozess ausnutzen, um bösartige Pakete einzuschleusen, ihre Berechtigungen auszuweiten und Kontrolle über das Cloud Build Servicekonto zu erlangen. Dies würde den Zugriff auf kritische GCP-Ressourcen wie Cloud Build selbst, Cloud Storage und Artifact Registry ermöglichen – und verdeutlicht die Risiken im Zusammenhang mit vererbten Cloud-Berechtigungen.
Schwachstelle ConfusedFunction
ConfusedComposer ist eine Variante einer von Tenable entdeckten Schwachstelle namens ConfusedFunction und veranschaulicht die Komplexität und Ähnlichkeit von Cloud-Services – die letztendlich einen ausnutzbaren Angriffspfad eröffnet haben. Darüber hinaus steht ConfusedComposer exemplarisch für ein größeres Problem: das von Tenable geprägte Jenga-Konzept – die Tendenz von Cloud-Providern, Services schichtweise aufzubauen, sodass Sicherheitsrisiken und Schwachstellen in einem Layer potenziell auf andere Services durchschlagen. „Beim Jenga kann das Entfernen eines einzigen Bausteins das gesamte Konstrukt zum Einsturz bringen“, erklärt Liv Matan, Senior Security Researcher bei Tenable. „Cloud-Services funktionieren ähnlich: Riskante Default-Settings in einer Komponente können auf abhängige Services durchschlagen und erhöhen so das Risiko von Security Breaches.“
Auswirkungen von ConfusedComposer
Gelingt es Angreifern, ConfusedComposer auszunutzen, könnten sie:
- sensible Daten aus GCP-Services stehlen
- Schadcode in CI/CD-Pipelines einschleusen
- dauerhaften Zugriff über Backdoors etablieren
- Berechtigungen ausweiten und möglicherweise die vollständige Kontrolle über das GCP-Projekt eines Opfers erlangen
Google hat ConfusedComposer bereits adressiert – es sind keine zusätzlichen Maßnahmen erforderlich. Obwohl keine Benutzeraktion erforderlich ist, um ConfusedComposer zu beheben, empfiehlt Tenable Unternehmen:
- das Least-Privilege-Prinzip anzuwenden, um unnötige Berechtigungsvererbung zu verhindern
- versteckte Abhängigkeiten zwischen Cloud-Services mit Tools wie Jenganizer aufzudecken
- Logs regelmäßig auf verdächtige Zugriffsmuster zu überprüfen
Passende Artikel zum Thema
Über Tenable Tenable ist ein Cyber Exposure-Unternehmen. Weltweit vertrauen über 24.000 Unternehmen auf Tenable, um Cyberrisiken zu verstehen und zu reduzieren. Die Erfinder von Nessus haben ihre Expertise im Bereich Vulnerabilities in Tenable.io kombiniert und liefern die branchenweit erste Plattform, die Echtzeit-Einblick in alle Assets auf jeder beliebigen Computing-Plattform gewährt und diese Assets sichert. Der Kundenstamm von Tenable umfasst 53 Prozent der Fortune 500, 29 Prozent der Global 2000 und große Regierungsstellen.