Google corrige un error en GCP Composer que podría haber provocado la ejecución remota de código


16 de septiembre de 2024Ravie LakshmananSeguridad en la nube / Vulnerabilidad

Una falla de seguridad crítica ahora parcheada que afecta a Google Cloud Platform (GCP) Composer podría haber sido explotada para lograr la ejecución remota de código en servidores en la nube mediante una técnica de ataque a la cadena de suministro llamada confusión de dependencias.

La vulnerabilidad ha sido denominada con el nombre en código Impostor en la nube por Tenable Research.

«La vulnerabilidad podría haber permitido a un atacante secuestrar una dependencia de software interna que Google preinstala en cada herramienta de orquestación de canalizaciones de Google Cloud Composer», dijo la investigadora de seguridad Liv Matan en un comunicado. informe compartido con The Hacker News.

La confusión de dependencias (también conocida como ataque de sustitución), que fue documentada por primera vez por el investigador de seguridad Alex Birsan en febrero de 2021, se refiere a un tipo de compromiso de la cadena de suministro de software en el que se engaña a un administrador de paquetes para que extraiga un paquete malicioso de un repositorio público en lugar del archivo previsto del mismo nombre de un repositorio interno.

Ciberseguridad

Por lo tanto, un actor de amenazas podría organizar un ataque a gran escala a la cadena de suministro mediante: publicación un paquete falsificado en un repositorio de paquetes público con el mismo nombre que un paquete desarrollado internamente por empresas y con un número de versión superior.

Esto, a su vez, hace que el administrador de paquetes… descargar sin saberlo el paquete malicioso del repositorio público en lugar del repositorio privado, reemplazando efectivamente la dependencia del paquete existente con su contraparte maliciosa.

El problema identificado El uso de Tenable es similar en el sentido de que se podría abusar de él para cargar un paquete malicioso en el repositorio Python Package Index (PyPI) con el nombre «google-cloud-datacatalog-lineage-producer-client», que luego podría preinstalarse en todas las instancias de Composer con permisos elevados.

Si bien Cloud Composer requiere que el paquete en cuestión tenga una versión fija (es decir, versión 0.1.0), Tenable descubrió que usar el argumento «–extra-index-url» durante un comando «pip install» prioriza la obtención del paquete del registro público, lo que abre la puerta a la confusión de dependencias.

Armados con este privilegio, los atacantes podrían ejecutar código, extraer credenciales de cuentas de servicio y moverse lateralmente en el entorno de la víctima hacia otros servicios de GCP.

Tras una divulgación responsable el 18 de enero de 2024, Google lo solucionó en mayo de 2024, asegurándose de que el paquete solo se instala desde un repositorio privado. También agregó la precaución adicional de verificar la suma de verificación del paquete para confirmar su integridad y validar que no haya sido manipulado.

Se dice que la Autoridad de Empaquetado de Python (PyPA) ha estado al tanto de los riesgos que plantea el argumento «–extra-index-url» al menos desde marzo de 2018, instando a los usuarios a evitar el uso de PyPI en los casos en que sea necesario extraer el paquete interno.

Ciberseguridad

«Se espera que los paquetes sean únicos en cuanto a nombre y versión, por lo que pip trata como indistinguibles dos ruedas con el mismo nombre de paquete y versión», dijo un miembro de PyPA. anotado «Esta es una característica deliberada de los metadatos del paquete y no es probable que cambie».

Google, como parte de su solución, ahora también recomienda que los desarrolladores utilicen el argumento «–index-url» en lugar del argumento «–extra-index-url» y que los clientes de GCP utilicen un repositorio virtual de Artifact Registry cuando requieran múltiples repositorios.

«El argumento ‘–index-url’ reduce el riesgo de ataques de confusión de dependencia al buscar únicamente paquetes en el registro que se definieron como un valor dado para ese argumento», dijo Matan.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57