Des acteurs malveillants peuvent profiter d’une visibilité médico-légale « insuffisante » sur Google Cloud Platform (GCP) pour exfiltrer des données sensibles, selon une nouvelle étude.
« Malheureusement, GCP ne fournit pas le niveau de visibilité dans ses journaux de stockage qui est nécessaire pour permettre toute enquête médico-légale efficace, ce qui rend les organisations aveugles aux attaques potentielles d’exfiltration de données », a déclaré la société de réponse aux incidents cloud Mitiga. a dit dans un rapport.
L’attaque repose sur la condition préalable que l’adversaire soit en mesure de prendre le contrôle d’une entité de gestion des identités et des accès (IAM) dans l’organisation ciblée par des méthodes telles que l’ingénierie sociale pour accéder à l’environnement GCP.
Le nœud du problème est que GCP journaux d’accès au stockage ne fournissent pas une transparence adéquate en ce qui concerne les événements potentiels d’accès aux fichiers et de lecture, mais les regroupent tous en une seule activité « Object Get ».
« Le même événement est utilisé pour une grande variété de types d’accès, y compris : la lecture d’un fichier, le téléchargement d’un fichier, la copie d’un fichier sur un serveur externe, [and] en lisant les métadonnées du fichier », a déclaré Veronica Marinov, chercheuse au Mitiga.
Cette absence de distinction pourrait permettre à un attaquant de récolter des données sensibles sans être détecté, principalement parce qu’il n’y a aucun moyen de faire la différence entre une activité utilisateur malveillante et légitime.
Dans un attaque hypothétiqueun pirate peut utiliser l’interface de ligne de commande de Google (gsutil) pour transférer des données précieuses des compartiments de stockage de l’organisation victime vers un compartiment de stockage externe au sein de l’organisation attaquante.
Découvrez les dernières tactiques d’évasion et stratégies de prévention des logiciels malveillants
Prêt à briser les 9 mythes les plus dangereux sur les attaques basées sur des fichiers ? Rejoignez notre prochain webinaire et devenez un héros dans la lutte contre les infections du patient zéro et les événements de sécurité du jour zéro !
Google a depuis fourni des recommandations d’atténuation, qui vont du cloud privé virtuel (VPC) Contrôles de service à l’aide en-têtes de restriction d’organisation pour limiter les demandes de ressources cloud.
La divulgation intervient alors que Sysdig a mis au jour une campagne d’attaque sophistiquée baptisée SCARLETEEL qui cible des environnements conteneurisés pour perpétrer le vol de données et de logiciels propriétaires.