Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Investigadores descubren vulnerabilidad ConfusedFunction en Google Cloud Platform
  • Tecnología

Investigadores descubren vulnerabilidad ConfusedFunction en Google Cloud Platform

teknomers 25 de Temmuz de 2024 (Last updated: 25 de Temmuz de 2024) 4 minutes read
Investigadores descubren vulnerabilidad ConfusedFunction en Google Cloud Platform


25 de julio de 2024Sala de prensaSeguridad en la nube / Vulnerabilidad

Investigadores de ciberseguridad han revelado una vulnerabilidad de escalada de privilegios que afecta al servicio Cloud Functions de Google Cloud Platform y que un atacante podría explotar para acceder a otros servicios y datos confidenciales de manera no autorizada.

Tenable tiene dado La vulnerabilidad se llama ConfusedFunction.

“Un atacante podría escalar sus privilegios a la cuenta de servicio predeterminada de Cloud Build y acceder a numerosos servicios como Cloud Build, almacenamiento (incluido el código fuente de otras funciones), registro de artefactos y registro de contenedores”, dijo la empresa de gestión de exposición en un comunicado.

“Este acceso permite el movimiento lateral y la escalada de privilegios en el proyecto de una víctima, para acceder a datos no autorizados e incluso actualizarlos o eliminarlos”.

Funciones de la nube se refiere a un entorno de ejecución sin servidor que permite a los desarrolladores crear funciones de propósito único que se activan en respuesta a eventos específicos de la nube sin la necesidad de administrar un servidor o actualizar marcos.

La seguridad cibernética

El problema descubierto por Tenable tiene que ver con el hecho de que una cuenta de servicio Cloud Build se crea en segundo plano y se vincula a una instancia de Cloud Build de forma predeterminada cuando se crea o actualiza una Cloud Function.

Esta cuenta de servicio abre la puerta a una posible actividad maliciosa debido a sus permisos excesivos, lo que permite que un atacante con acceso para crear o actualizar una función en la nube aproveche esta laguna y escale sus privilegios a la cuenta de servicio.

Este permiso podría utilizarse de forma abusiva para acceder a otros servicios de Google Cloud que también se crean en conjunto con Cloud Function, como Cloud Storage, Artifact Registry y Container Registry. En un escenario de ataque hipotético, ConfusedFunction podría aprovecharse para filtrar el token de la cuenta de servicio de Cloud Build a través de un webhook.

Vulnerabilidad de ConfusedFunction

Tras la divulgación responsable, Google ha actualizado El comportamiento predeterminado es que Cloud Build utiliza el Cuenta de servicio predeterminada de Compute Engine para evitar el uso indebido. Sin embargo, cabe señalar que estos cambios no se aplican a las instancias existentes.

“La vulnerabilidad ConfusedFunction resalta los escenarios problemáticos que pueden surgir debido a la complejidad del software y la comunicación entre servicios en los servicios de un proveedor de nube”, afirmó la investigadora de Tenable Liv Matan.

“Si bien la corrección de GCP redujo la gravedad del problema para futuras implementaciones, no lo eliminó por completo. Esto se debe a que la implementación de una función de Cloud Function aún desencadena la creación de los servicios de GCP antes mencionados. Como resultado, los usuarios aún deben asignar permisos mínimos, pero relativamente amplios, a la cuenta de servicio de Cloud Build como parte de la implementación de una función”.

El desarrollo surge luego de que Outpost24 detallara una falla de secuencias de comandos entre sitios (XSS) de gravedad media en Oracle Integration Cloud Platform que podría usarse para inyectar código malicioso en la aplicación.

La falla, que tiene su raíz en el manejo del parámetro “consumer_url”, fue resuelto por Oracle en su Actualización de Parche Crítico (CPU) publicada a principios de este mes.

“La página para crear una nueva integración, que se encuentra en https://.integration.ocp.oraclecloud.com/ic/integration/home/faces/link?page=integration&consumer_url=no requirió ningún otro parámetro”, dijo el investigador de seguridad Filip Nyquist. dicho.

Vulnerabilidad de ConfusedFunction

“Esto significaba que un atacante solo tendría que identificar el identificador de instancia de la plataforma de integración específica para enviar una carga útil funcional a cualquier usuario de la plataforma. En consecuencia, el atacante podría eludir el requisito de conocer un identificador de integración específico, al que normalmente solo pueden acceder los usuarios que han iniciado sesión”.

También sigue a Assetnote descubrimiento de tres vulnerabilidades de seguridad en la plataforma de computación en la nube ServiceNow (CVE-2024-4879, CVE-2024-5178 y CVE-2024-5217) que podrían transformarse en una cadena de explotación para obtener acceso completo a la base de datos y ejecutar código arbitrario dentro del contexto de la plataforma Now.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: España y Canadá logran victorias en el estreno olímpico
Next: Estimación de BTE: mil millones de importaciones de moda y calzado del Lejano Oriente afectan el suministro interno

Related Stories

Mejora tu mensajería Signal para el verano: descubre las novedades
  • Tecnología

Mejora tu mensajería Signal para el verano: descubre las novedades

teknomers 16 de Temmuz de 2026
Esta patineta eléctrica Xiaomi masiva y diseñada para la carretera
  • Tecnología

Esta patineta eléctrica Xiaomi masiva y diseñada para la carretera con 70 km de autonomía también está en rebajas.

teknomers 16 de Temmuz de 2026
Inteligencia de Apple aprobada en China: Baidu y Alibaba involucrados
  • Tecnología

Inteligencia de Apple aprobada en China: Baidu y Alibaba involucrados

teknomers 15 de Temmuz de 2026

You May Have Missed

  • General

Algunos buques se niegan a realizar transitos guiados por el ejército de EE. UU. en Hormuz tras los ataques, dicen fuentes

teknomers 16 de Temmuz de 2026
  • Deporte

Inglaterra 1-2 Argentina: ¿Costaron las tácticas de Thomas Tuchel a Inglaterra su lugar en la final de la Copa del Mundo?

teknomers 16 de Temmuz de 2026
  • General

EE. UU. ataca a Irán de nuevo mientras Teherán advierte de una “guerra existencial” con América

teknomers 16 de Temmuz de 2026
« ¡Es en medio de las jaulas! »: Bellingham enojado
  • Deporte

« ¡Es en medio de las jaulas! »: Bellingham enojado con su portero, luego propina una bofetada a un argentino, ¿puede ser suspendido?

teknomers 16 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.