Araştırmacılar, Google Cloud Platform’da tehdit aktörlerine hedef sanal makine (VM) uç noktası üzerinde tam kontrol sağlayabilecek bir yanlış yapılandırma bulunduğunu söyledi.
İçinde Blog yazısı bulut olayı yanıt uzmanları tarafından yayınlanan Mitiga, şirket (ab) meşru sistem özelliklerini kullanarak, potansiyel saldırganların VM’lerden veri okuyup yazabileceğini ve bunun teorik olarak sistemin tamamının ele geçirilmesiyle sonuçlanabileceğini belirtti.
Ancak Mitiga, bunun bir güvenlik açığı veya sistem hatası olmadığını vurguluyor – “tehlikeli bir işlevsellik” olarak tanımlanıyor.
Kullanılabilir kusur yok
Mitiga, tehdit aktörlerinin genellikle seri bağlantı noktalarındaki kilitleri izleyen ve okuyan “getSerialPortOutput” adlı açıkta kalan bir meta veri API’si kullanabileceğini belirtiyor.
Seri portlar TCP/UP anlamında portlar değil, bunun Linux olduğu göz önüne alındığında /dev/ttySX biçimindeki dosyalar olduğundan, araştırmacılar API çağrısını “sistemlerde hata ayıklamanın eski bir yöntemi” olarak tanımladılar.
Raporda, “Mitiga olarak biz, bu yanlış yapılandırmanın endişeyi haklı çıkaracak kadar yaygın olduğuna inanıyoruz; ancak, GCP ortamına uygun erişim kontrolü ile, istismar edilebilir bir kusur yok” deniyor.
Bulguları Google’a açıkladıktan sonra şirket, yanlış yapılandırmanın güvenlik duvarı ayarlarını atlamak için kullanılabileceğini kabul etti. Mitiga, Google’ın getSerialPortOutput işlevinde iki şeyi değiştirmesini önerdi – kullanımını yalnızca yüksek izinlere sahip hesaplarla sınırlamak ve şirketlerin çalışma zamanında Hesaplama VM meta verilerinin eklenmesini veya değiştirilmesini devre dışı bırakmasına izin vermek.
Ayrıca şirket, güvenlik duvarlarının ve diğer ağ erişim kontrollerinin sanal makinelere erişimi tamamen kısıtlamadığını daha da netleştirmek için Google’ın GCP belgelerini gözden geçirmesini tavsiye etti.
Google yalnızca kısmen kabul etti: “Uzun bir değiş tokuşun ardından, Google nihayetinde belgelerinin belirli bölümlerinin daha net hale getirilebileceği konusunda hemfikir oldu ve kontrol düzleminin güvenlik duvarı ayarlarından bağımsız olarak VM’lere erişebileceğini belirten belgelerde değişiklik yapmayı kabul etti. Google, diğer öneriler veya bir GCP kullanıcısının getSerialPortOutput yöntemini kullanarak ücretlerden kaçıp kurtulamayacağına ilişkin ayrıntılardan bahsetmeyin,” deniyor raporda.