Los investigadores de seguridad cibernética han detallado una vulnerabilidad ahora parada en Google Cloud Platform (GCP) que podría haber permitido a un atacante elevar sus privilegios en el Compositor de nubes Servicio de orquestación de flujo de trabajo que se basa en el flujo de aire Apache.
“Esta vulnerabilidad permite a los atacantes con permisos de edición en el compositor de la nube para escalar su acceso a la cuenta de servicio de compilación de nube predeterminada, que tiene permisos de alto nivel en los servicios de GCP como Construcción de nubes en sí mismo, almacenamiento en la nube y registro de artefactos, “Liv Matan, investigador de seguridad senior en Tenable, dicho En un informe compartido con The Hacker News.
La deficiencia ha sido nombrada en código confundido por la compañía de seguridad cibernética, describiéndola como una variante de la función confundida, una vulnerabilidad de escalada privilegiada que impacta el servicio de funciones en la nube de GCP que un atacante podría explotar para acceder a otros servicios y datos confidenciales de una manera no autorizada.
La divulgación se produce semanas después de que Tenable detalló otra vulnerabilidad de escalada de privilegios en la ejecución de la nube GCP Doblada Imagerunner que podría haber permitido que un actor malicioso acceda a imágenes de contenedores e incluso inyecte un código malicioso, creando efectos en cascada.
Al igual que Imagerunner, ConfusedComposer es otro ejemplo del concepto de Jenga, que hace que los problemas de seguridad se hereden de un servicio al otro cuando los proveedores de servicios en la nube crean nuevos servicios existentes.
El exploit depende del atacante que tenga permiso para editar un entorno de compositor de nubes (es decir, composer.environments.update), que podría explotarse para inyectar un paquete de Índice de paquetes de Python (PYPI) malicioso que es capaz de aumentar los privilegios a través de la construcción de la nube.
El ataque es posible debido al hecho de que el compositor de nubes permite a los usuarios instalar paquetes PYPI personalizados en sus entornos, lo que permite que un adversario ejecute código arbitrario dentro de la instancia de compilación de la nube asociada utilizando scripts de instalación dentro de su paquete malicioso.
“El compositor confundido es importante porque expone cómo las interacciones detrás de escena entre los servicios en la nube pueden explotarse a través de la escalada de privilegios”, explicó Matan. “En este caso, un atacante solo necesita permiso para actualizar un entorno de compositor en la nube para obtener acceso a servicios críticos de GCP como almacenamiento en la nube y registro de artefactos”.
La explotación exitosa de la falla podría permitir que un atacante desvíe los datos confidenciales, interrumpir los servicios e implementar el código malicioso dentro de las tuberías de CI/CD. Además, podría allanar el camino para el despliegue de puertas traseras que pueden otorgar acceso persistente a entornos de nube comprometidos.
Después de la divulgación responsable de Tenable, Google ha abordado la vulnerabilidad al 13 de abril de 2025, eliminando el uso de la cuenta de servicio de compilación en la nube para instalar paquetes PYPI.
“La cuenta de servicio del entorno se utilizará en su lugar”, Google dicho en un anuncio el 15 de enero de 2025. “Los entornos de compositores de nube existentes 2 que utilizaron anteriormente la cuenta de servicio de compilación de nubes predeterminada cambiará a usar la cuenta de servicio del entorno”.
“Los entornos Cloud Composer 2 creados en las versiones 2.10.2 y más tarde ya tienen este cambio. Los entornos Cloud Composer 3 ya usan la cuenta de servicio del entorno y no se ven afectados por este cambio”.
La divulgación se produce cuando Varonis Amenazing Labs descubrió una vulnerabilidad en Microsoft Azure que podría haber permitido a un actor de amenaza con acceso privilegiado a un servidor Azure SQL para alterar las configuraciones de una manera que causa pérdida de datos en la acción de administración. Microsoft ha remediado completamente el problema al 9 de abril de 2025, después de que se dio cuenta el 5 de agosto de 2024.
La vulnerabilidad de inyección de parámetros de URL almacenada destructiva, dijo la compañía, se deriva de la falta de limitación de carácter para las reglas de firewall de servidor creadas utilizando Transact-SQL (T-SQL).
“Al manipular el nombre de las reglas de firewall a nivel de servidor a través de T-SQL, un actor de amenaza con acceso privilegiado a un servidor Azure SQL puede inyectar un implante que, basado en acciones específicas del usuario, elimina los recursos de Azure arbitrarios que el usuario tiene permisos para” “Investigador de seguridad Coby Abrams Abrams dicho.
“El impacto de un actor de amenaza que explota esta vulnerabilidad podría ser la pérdida de datos a gran escala en la cuenta de Azure afectado”.
También se produce cuando los laboratorios de seguridad de Datadog arrojan luz sobre un error en Microsoft Entra ID restringieron unidades administrativas que podrían permitir que un atacante evite que los usuarios seleccionados sean modificados, eliminados o discapacitados, incluso por un administrador global.
“Un atacante privilegiado podría haber usado este error para proteger una cuenta bajo su control, evitando la contención por parte de cualquier administrador de ID”, la investigadora de seguridad Katie Knowles dicho. Esto incluyó varias tareas, como restablecer las contraseñas, revocar las sesiones de usuario, eliminar a los usuarios y borrar los métodos de autenticación multifactor (MFA) de los usuarios.
Desde entonces, el problema ha sido solucionado por el fabricante de Windows a partir del 22 de febrero de 2025, luego de la divulgación responsable el 19 de agosto de 2024.
En las últimas semanas, se ha encontrado que los actores de amenazas capacitan sus lugares en los sitios web alojados en las instancias de la nube de compute elástica de Amazon Web Services (AWS) (EC2) explotando vulnerabilidades de falsificación del lado del servidor (SSRF) para extraer información de metadatos.
“Los metadatos de instancia de EC2 son una característica proporcionada por AWS que permite que una instancia de EC2 acceda a la información necesaria en el tiempo de ejecución sin necesidad de autenticar o hacer llamadas de API externos”, investigadora de F5 Labs Merlyn Albery-Speyer dicho. “Puede exponer información como la dirección IP pública o privada, ID de instancia y credenciales de roles de IAM. Gran parte de esto son datos confidenciales de interés para los atacantes”.
About the Author
