Los actores maliciosos pueden aprovechar la visibilidad forense «insuficiente» en Google Cloud Platform (GCP) para filtrar datos confidenciales, según descubrió una nueva investigación.
«Desafortunadamente, GCP no brinda el nivel de visibilidad en sus registros de almacenamiento que se necesita para permitir cualquier investigación forense efectiva, lo que hace que las organizaciones no vean posibles ataques de exfiltración de datos», la firma de respuesta a incidentes en la nube Mitiga. dicho en un informe
El ataque se basa en el requisito previo de que el adversario pueda obtener el control de una entidad de gestión de acceso e identidad (IAM) en la organización objetivo mediante métodos como la ingeniería social para acceder al entorno de GCP.
El quid del problema es que GCP registros de acceso al almacenamiento no proporcione la transparencia adecuada con respecto al acceso potencial a archivos y eventos de lectura, sino que los agrupe todos como una única actividad de «Objeto Obtener».
«El mismo evento se usa para una amplia variedad de tipos de acceso, que incluyen: Leer un archivo, descargar un archivo, copiar un archivo a un servidor externo, [and] leyendo los metadatos del archivo», dijo Veronica Marinov, investigadora de Mitiga.
Esta falta de distinción podría permitir que un atacante recopile datos confidenciales sin ser detectado, principalmente porque no hay forma de diferenciar entre la actividad del usuario malintencionada y legítima.
en un ataque hipotéticoun actor de amenazas puede usar la interfaz de línea de comandos de Google (gsutil) para transferir datos valiosos desde los depósitos de almacenamiento de la organización víctima a un depósito de almacenamiento externo dentro de la organización atacante.
Descubra las últimas tácticas de evasión de malware y estrategias de prevención
¿Listo para acabar con los 9 mitos más peligrosos sobre los ataques basados en archivos? ¡Únase a nuestro próximo seminario web y conviértase en un héroe en la lucha contra las infecciones del paciente cero y los eventos de seguridad de día cero!
Desde entonces, Google ha proporcionado recomendaciones de mitigación, que van desde Virtual Private Cloud (VPC) Controles de servicio para usar encabezados de restricción de organización para restringir las solicitudes de recursos en la nube.
La divulgación se produce cuando Sysdig descubrió una campaña de ataque sofisticada denominada SCARLETEEL que tiene como objetivo entornos en contenedores para perpetrar el robo de datos y software patentados.