{"id":1363328,"date":"2024-09-16T14:52:04","date_gmt":"2024-09-16T14:52:04","guid":{"rendered":"https:\/\/teknomers.com\/es\/google-corrige-un-error-en-gcp-composer-que-podria-haber-provocado-la-ejecucion-remota-de-codigo\/"},"modified":"2024-09-16T14:52:09","modified_gmt":"2024-09-16T14:52:09","slug":"google-corrige-un-error-en-gcp-composer-que-podria-haber-provocado-la-ejecucion-remota-de-codigo","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/google-corrige-un-error-en-gcp-composer-que-podria-haber-provocado-la-ejecucion-remota-de-codigo\/","title":{"rendered":"Google corrige un error en GCP Composer que podr\u00eda haber provocado la ejecuci\u00f3n remota de c\u00f3digo"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 de septiembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad en la nube \/ Vulnerabilidad<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Google-corrige-un-error-en-GCP-Composer-que-podria-haber.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Una falla de seguridad cr\u00edtica ahora parcheada que afecta a Google Cloud Platform (GCP) Composer podr\u00eda haber sido explotada para lograr la ejecuci\u00f3n remota de c\u00f3digo en servidores en la nube mediante una t\u00e9cnica de ataque a la cadena de suministro llamada confusi\u00f3n de dependencias.<\/p>\n<p>La vulnerabilidad ha sido denominada con el nombre en c\u00f3digo <strong>Impostor en la nube<\/strong> por Tenable Research.<\/p>\n<p>&#8220;La vulnerabilidad podr\u00eda haber permitido a un atacante secuestrar una dependencia de software interna que Google preinstala en cada herramienta de orquestaci\u00f3n de canalizaciones de Google Cloud Composer&#8221;, dijo la investigadora de seguridad Liv Matan en un comunicado. <a rel=\"nofollow noopener\" href=\"https:\/\/www.tenable.com\/blog\/cloudimposer-executing-code-on-millions-of-google-servers-with-a-single-malicious-package\" target=\"_blank\">informe<\/a> compartido con The Hacker News.<\/p>\n<p>La confusi\u00f3n de dependencias (tambi\u00e9n conocida como ataque de sustituci\u00f3n), que fue documentada por primera vez por el investigador de seguridad Alex Birsan en febrero de 2021, se refiere a un tipo de compromiso de la cadena de suministro de software en el que se enga\u00f1a a un administrador de paquetes para que extraiga un paquete malicioso de un repositorio p\u00fablico en lugar del archivo previsto del mismo nombre de un repositorio interno.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-executive\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726470741_359_Los-cibercriminales-aprovechan-los-encabezados-HTTP-para-robar-credenciales-mediante.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Por lo tanto, un actor de amenazas podr\u00eda organizar un ataque a gran escala a la cadena de suministro mediante: <a rel=\"nofollow noopener\" href=\"https:\/\/blog.gitguardian.com\/dependency-confusion-attacks\/\" target=\"_blank\">publicaci\u00f3n<\/a> un paquete falsificado en un repositorio de paquetes p\u00fablico con el mismo nombre que un paquete desarrollado internamente por empresas y con un n\u00famero de versi\u00f3n superior.<\/p>\n<p>Esto, a su vez, hace que el administrador de paquetes&#8230; <a rel=\"nofollow noopener\" href=\"https:\/\/orca.security\/resources\/blog\/dependency-confusion-supply-chain-attacks\/\" target=\"_blank\">descargar sin saberlo<\/a> el paquete malicioso del repositorio p\u00fablico en lugar del repositorio privado, reemplazando efectivamente la dependencia del paquete existente con su contraparte maliciosa.<\/p>\n<p>El problema <a rel=\"nofollow noopener\" href=\"https:\/\/www.tenable.com\/security\/research\/tra-2024-18\" target=\"_blank\">identificado<\/a> El uso de Tenable es similar en el sentido de que se podr\u00eda abusar de \u00e9l para cargar un paquete malicioso en el repositorio Python Package Index (PyPI) con el nombre &#8220;google-cloud-datacatalog-lineage-producer-client&#8221;, que luego podr\u00eda preinstalarse en todas las instancias de Composer con permisos elevados.<\/p>\n<p>Si bien Cloud Composer requiere que el paquete en cuesti\u00f3n tenga una versi\u00f3n fija (es decir, versi\u00f3n 0.1.0), Tenable descubri\u00f3 que usar el argumento &#8220;&#8211;extra-index-url&#8221; durante un comando &#8220;pip install&#8221; prioriza la obtenci\u00f3n del paquete del registro p\u00fablico, lo que abre la puerta a la confusi\u00f3n de dependencias.<\/p>\n<p>Armados con este privilegio, los atacantes podr\u00edan ejecutar c\u00f3digo, extraer credenciales de cuentas de servicio y moverse lateralmente en el entorno de la v\u00edctima hacia otros servicios de GCP.<\/p>\n<p>Tras una divulgaci\u00f3n responsable el 18 de enero de 2024, Google lo solucion\u00f3 en mayo de 2024, asegur\u00e1ndose de que el paquete solo se instala desde un repositorio privado. Tambi\u00e9n agreg\u00f3 la precauci\u00f3n adicional de verificar la suma de verificaci\u00f3n del paquete para confirmar su integridad y validar que no haya sido manipulado.<\/p>\n<p>Se dice que la Autoridad de Empaquetado de Python (PyPA) ha estado al tanto de los riesgos que plantea el argumento &#8220;&#8211;extra-index-url&#8221; al menos desde marzo de 2018, instando a los usuarios a evitar el uso de PyPI en los casos en que sea necesario extraer el paquete interno.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-cis-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-norcoreanos-utilizan-rootkit-FudModule-a-traves-de-exploit-de.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>&#8220;Se espera que los paquetes sean \u00fanicos en cuanto a nombre y versi\u00f3n, por lo que pip trata como indistinguibles dos ruedas con el mismo nombre de paquete y versi\u00f3n&#8221;, dijo un miembro de PyPA. <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/pypa\/pip\/issues\/5045\" target=\"_blank\">anotado<\/a> &#8220;Esta es una caracter\u00edstica deliberada de los metadatos del paquete y no es probable que cambie&#8221;.<\/p>\n<p>Google, como parte de su soluci\u00f3n, ahora tambi\u00e9n recomienda que los desarrolladores utilicen el argumento &#8220;&#8211;index-url&#8221; en lugar del argumento &#8220;\u2013extra-index-url&#8221; y que los clientes de GCP utilicen un repositorio virtual de Artifact Registry cuando requieran m\u00faltiples repositorios.<\/p>\n<p>&#8220;El argumento &#8216;&#8211;index-url&#8217; reduce el riesgo de ataques de confusi\u00f3n de dependencia al buscar \u00fanicamente paquetes en el registro que se definieron como un valor dado para ese argumento&#8221;, dijo Matan.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/09\/google-fixes-gcp-composer-flaw-that.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 de septiembre de 2024\ue804Ravie LakshmananSeguridad en la nube \/ Vulnerabilidad Una falla de seguridad cr\u00edtica ahora parcheada<\/p>\n","protected":false},"author":1,"featured_media":1363329,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,706,4664,158771,24631,11214,5369,202100,8666,1322,4667,239182,4654,239508,4658,4659,4653,2916,11074,17256,246983,4665,246984,246982,239484],"class_list":["post-1363328","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-codigo","tag-como-hackear","tag-composer","tag-corrige","tag-ejecucion","tag-error","tag-gcp","tag-google","tag-haber","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-podria","tag-provocado","tag-remota","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-violacion-de-datos","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1363328","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1363328"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1363328\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1363329"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1363328"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1363328"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1363328"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}