{"id":774614,"date":"2023-05-26T18:36:08","date_gmt":"2023-05-26T18:36:08","guid":{"rendered":"https:\/\/teknomers.com\/es\/una-falla-grave-en-el-servicio-cloud-sql-de-google-cloud-expuso-datos-confidenciales\/"},"modified":"2023-05-26T18:36:11","modified_gmt":"2023-05-26T18:36:11","slug":"una-falla-grave-en-el-servicio-cloud-sql-de-google-cloud-expuso-datos-confidenciales","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/una-falla-grave-en-el-servicio-cloud-sql-de-google-cloud-expuso-datos-confidenciales\/","title":{"rendered":"Una falla grave en el servicio Cloud SQL de Google Cloud expuso datos confidenciales"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>26 de mayo de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Seguridad de datos \/ Seguridad en la nube<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Se ha revelado una nueva falla de seguridad en el servicio Cloud SQL de Google Cloud Platform (GCP) que podr\u00eda explotarse potencialmente para obtener acceso a datos confidenciales.<\/p>\n

“La vulnerabilidad podr\u00eda haber permitido que un actor malicioso pasara de ser un usuario b\u00e1sico de Cloud SQL a un administrador de sistemas completo en un contenedor, obteniendo acceso a datos internos de GCP como secretos, archivos confidenciales, contrase\u00f1as, adem\u00e1s de datos de clientes”, dijo la nube israel\u00ed. empresa de seguridad cavar dicho<\/a>.<\/p>\n

SQL en la nube<\/a> es una soluci\u00f3n totalmente administrada para crear bases de datos MySQL, PostgreSQL y SQL Server para aplicaciones basadas en la nube.<\/p>\n

La cadena de ataque de m\u00faltiples etapas identificada por Dig, en pocas palabras, aprovech\u00f3 una brecha en la capa de seguridad de la plataforma en la nube asociada con SQL Server para escalar los privilegios de un usuario a un rol de administrador.<\/p>\n

Posteriormente, los permisos elevados permitieron abusar de otra configuraci\u00f3n err\u00f3nea cr\u00edtica para obtener derechos de administrador del sistema y tomar el control total del servidor de la base de datos.<\/p>\n

\"SQL<\/div>\n

A partir de ah\u00ed, un actor de amenazas podr\u00eda acceder a todos los archivos alojados en el sistema operativo subyacente, enumerar archivos y extraer contrase\u00f1as, que luego podr\u00edan actuar como una plataforma de lanzamiento para futuros ataques.<\/p>\n

“Obtener acceso a datos internos como secretos, URL y contrase\u00f1as puede conducir a la exposici\u00f3n de los datos de los proveedores de la nube y los datos confidenciales de los clientes, lo que es un incidente de seguridad importante”, dijeron los investigadores de Dig Ofir Balassiano y Ofir Shaty.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n

Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n

Guardar mi asiento!<\/a><\/div>\n

Luego de la divulgaci\u00f3n responsable en febrero de 2023, Google abord\u00f3 el problema en abril de 2023.<\/p>\n

La divulgaci\u00f3n viene como Google Anunciado<\/a> la disponibilidad de su Entorno de Gesti\u00f3n Autom\u00e1tica de Certificados (CUMBRE<\/a>) API para que todos los usuarios de Google Cloud adquieran y renueven autom\u00e1ticamente certificados TLS de forma gratuita.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n