Los investigadores de seguridad cibern\u00e9tica han detallado una vulnerabilidad ahora parada en Google Cloud Platform (GCP) que podr\u00eda haber permitido a un atacante elevar sus privilegios en el Compositor de nubes<\/a> Servicio de orquestaci\u00f3n de flujo de trabajo que se basa en el flujo de aire Apache.<\/p>\n “Esta vulnerabilidad permite a los atacantes con permisos de edici\u00f3n en el compositor de la nube para escalar su acceso a la cuenta de servicio de compilaci\u00f3n de nube predeterminada, que tiene permisos de alto nivel en los servicios de GCP como Construcci\u00f3n de nubes<\/a> en s\u00ed mismo, almacenamiento en la nube y registro de artefactos, “Liv Matan, investigador de seguridad senior en Tenable, dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n La deficiencia ha sido nombrada en c\u00f3digo confundido por la compa\u00f1\u00eda de seguridad cibern\u00e9tica, describi\u00e9ndola como una variante de la funci\u00f3n confundida, una vulnerabilidad de escalada privilegiada que impacta el servicio de funciones en la nube de GCP que un atacante podr\u00eda explotar para acceder a otros servicios y datos confidenciales de una manera no autorizada.<\/p>\n La divulgaci\u00f3n se produce semanas despu\u00e9s de que Tenable detall\u00f3 otra vulnerabilidad de escalada de privilegios en la ejecuci\u00f3n de la nube GCP Doblada Imagerunner que podr\u00eda haber permitido que un actor malicioso acceda a im\u00e1genes de contenedores e incluso inyecte un c\u00f3digo malicioso, creando efectos en cascada.<\/p>\n Al igual que Imagerunner, ConfusedComposer es otro ejemplo del concepto de Jenga, que hace que los problemas de seguridad se hereden de un servicio al otro cuando los proveedores de servicios en la nube crean nuevos servicios existentes.<\/p>\n El exploit depende del atacante que tenga permiso para editar un entorno de compositor de nubes (es decir, composer.environments.update), que podr\u00eda explotarse para inyectar un paquete de \u00cdndice de paquetes de Python (PYPI) malicioso que es capaz de aumentar los privilegios a trav\u00e9s de la construcci\u00f3n de la nube.<\/p>\n El ataque es posible debido al hecho de que el compositor de nubes permite a los usuarios instalar paquetes PYPI personalizados en sus entornos, lo que permite que un adversario ejecute c\u00f3digo arbitrario dentro de la instancia de compilaci\u00f3n de la nube asociada utilizando scripts de instalaci\u00f3n dentro de su paquete malicioso.<\/p>\n “El compositor confundido es importante porque expone c\u00f3mo las interacciones detr\u00e1s de escena entre los servicios en la nube pueden explotarse a trav\u00e9s de la escalada de privilegios”, explic\u00f3 Matan. “En este caso, un atacante solo necesita permiso para actualizar un entorno de compositor en la nube para obtener acceso a servicios cr\u00edticos de GCP como almacenamiento en la nube y registro de artefactos”.<\/p>\n La explotaci\u00f3n exitosa de la falla podr\u00eda permitir que un atacante desv\u00ede los datos confidenciales, interrumpir los servicios e implementar el c\u00f3digo malicioso dentro de las tuber\u00edas de CI\/CD. Adem\u00e1s, podr\u00eda allanar el camino para el despliegue de puertas traseras que pueden otorgar acceso persistente a entornos de nube comprometidos.<\/p>\n Despu\u00e9s de la divulgaci\u00f3n responsable de Tenable, Google ha abordado la vulnerabilidad al 13 de abril de 2025, eliminando el uso de la cuenta de servicio de compilaci\u00f3n en la nube para instalar paquetes PYPI.<\/p>\n “La cuenta de servicio del entorno se utilizar\u00e1 en su lugar”, Google dicho<\/a> en un anuncio el 15 de enero de 2025. “Los entornos de compositores de nube existentes 2 que utilizaron anteriormente la cuenta de servicio de compilaci\u00f3n de nubes predeterminada cambiar\u00e1 a usar la cuenta de servicio del entorno”.<\/p>\n “Los entornos Cloud Composer 2 creados en las versiones 2.10.2 y m\u00e1s tarde ya tienen este cambio. Los entornos Cloud Composer 3 ya usan la cuenta de servicio del entorno y no se ven afectados por este cambio”.<\/p>\n La divulgaci\u00f3n se produce cuando Varonis Amenazing Labs descubri\u00f3 una vulnerabilidad en Microsoft Azure que podr\u00eda haber permitido a un actor de amenaza con acceso privilegiado a un servidor Azure SQL para alterar las configuraciones de una manera que causa p\u00e9rdida de datos en la acci\u00f3n de administraci\u00f3n. Microsoft ha remediado completamente el problema al 9 de abril de 2025, despu\u00e9s de que se dio cuenta el 5 de agosto de 2024.<\/p>\n La vulnerabilidad de inyecci\u00f3n de par\u00e1metros de URL almacenada destructiva, dijo la compa\u00f1\u00eda, se deriva de la falta de limitaci\u00f3n de car\u00e1cter para las reglas de firewall de servidor creadas utilizando Transact-SQL (T-SQL<\/a>).<\/p>\n “Al manipular el nombre de las reglas de firewall a nivel de servidor a trav\u00e9s de T-SQL, un actor de amenaza con acceso privilegiado a un servidor Azure SQL puede inyectar un implante que, basado en acciones espec\u00edficas del usuario, elimina los recursos de Azure arbitrarios que el usuario tiene permisos para” “Investigador de seguridad Coby Abrams Abrams dicho<\/a>.<\/p>\n “El impacto de un actor de amenaza que explota esta vulnerabilidad podr\u00eda ser la p\u00e9rdida de datos a gran escala en la cuenta de Azure afectado”.<\/p>\n Tambi\u00e9n se produce cuando los laboratorios de seguridad de Datadog arrojan luz sobre un error en Microsoft Entra ID restringieron unidades administrativas que podr\u00edan permitir que un atacante evite que los usuarios seleccionados sean modificados, eliminados o discapacitados, incluso por un administrador global.<\/p>\n “Un atacante privilegiado podr\u00eda haber usado este error para proteger una cuenta bajo su control, evitando la contenci\u00f3n por parte de cualquier administrador de ID”, la investigadora de seguridad Katie Knowles dicho<\/a>. Esto incluy\u00f3 varias tareas, como restablecer las contrase\u00f1as, revocar las sesiones de usuario, eliminar a los usuarios y borrar los m\u00e9todos de autenticaci\u00f3n multifactor (MFA) de los usuarios.<\/p>\n Desde entonces, el problema ha sido solucionado por el fabricante de Windows a partir del 22 de febrero de 2025, luego de la divulgaci\u00f3n responsable el 19 de agosto de 2024.<\/p>\n En las \u00faltimas semanas, se ha encontrado que los actores de amenazas capacitan sus lugares en los sitios web alojados en las instancias de la nube de compute el\u00e1stica de Amazon Web Services (AWS) (EC2) explotando vulnerabilidades de falsificaci\u00f3n del lado del servidor (SSRF) para extraer informaci\u00f3n de metadatos. <\/p>\n “Los metadatos de instancia de EC2 son una caracter\u00edstica proporcionada por AWS que permite que una instancia de EC2 acceda a la informaci\u00f3n necesaria en el tiempo de ejecuci\u00f3n sin necesidad de autenticar o hacer llamadas de API externos”, investigadora de F5 Labs Merlyn Albery-Speyer dicho<\/a>. “Puede exponer informaci\u00f3n como la direcci\u00f3n IP p\u00fablica o privada, ID de instancia y credenciales de roles de IAM. Gran parte de esto son datos confidenciales de inter\u00e9s para los atacantes”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/GCP-Cloud-Composer-Bug-Deja-a-los-atacantes-elevar-el.gif\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n