So sollten GCP-Kunden reagieren Schwachstelle in der Google-Cloud entdeckt

Anbieter zum Thema

sysob IT-Distribution GmbH & Co. KG

WatchGuard Technologies GmbH

Impossible Cloud GmbH

Forscher bei Tenable haben eine Schwachstelle in den Cloud Functions der Google Cloud Platform (GCP) gefunden. Die serverlose Ausführungs­umgebung dient der Automatisierung und ermöglicht den schnellen Aufbau einer eigenen Infrastruktur.

Die Sicherheitsforscher von Tenable haben eine Schwachstelle in der Google Cloud Platform (GCP) identifiziert, die unter dem Namen „ConfusedFunction“ bekannt ist. Die Schwachstelle betrifft die Cloud Functions, eine serverlose Ausführungsumgebung von GCP, die es Entwicklern ermöglicht, Funktionen auszuführen, ohne sich um die zugrunde liegende Infrastruktur kümmern zu müssen.

Angreifer können Systemkonto in der Google-Cloud übernehmen

Die Problematik entsteht in Verbindung mit dem Cloud Build CI/CD-Dienst von GCP, der zur Bereitstellung und Verwaltung dieser Cloud Functions verwendet wird. Beim Erstellen oder Aktualisieren einer Cloud Function initiiert GCP einen mehrstufigen Backend-Prozess. Während dieses Prozesses wird automatisch ein Cloud Build-Instanz erstellt, welche die Bereitstellung der Funktion übernimmt. Ein wesentlicher Teil dieses Prozesses besteht darin, dass ein standardmäßiges Cloud Build-Servicekonto mit der Instanz verbunden wird. Dieses Konto erhält weitreichende Berechtigungen, die weit über das hinausgehen, was für die Ausführung der Cloud Function notwendig ist. Diese Automatisierung geschieht im Hintergrund und bleibt dem Benutzer in der Regel verborgen.

Die Schwachstelle entsteht dadurch, dass ein Angreifer, der in der Lage ist, eine Cloud Function zu erstellen oder zu aktualisieren, diese übermäßigen Berechtigungen ausnutzen kann. Indem der Angreifer die Cloud Build-Instanz manipuliert, kann er sich die erhöhten Rechte des standardmäßigen Cloud Build-Servicekontos aneignen. Diese Rechte ermöglichen dem Angreifer den Zugriff auf andere GCP-Dienste, die im Rahmen der Funktionserstellung erstellt werden, wie beispielsweise Cloud Storage oder Container Registry.

So sollten Google-Kunden reagieren

Zur Absicherung gegen diese Schwachstelle empfiehlt es sich, in allen Cloud Functions, die das ältere Cloud Build-Servicekonto vor Juni 2024 nutzen, dieses durch ein Konto mit minimalen Rechten zu ersetzen. Diese Maßnahme reduziert das Risiko, dass ein Angreifer die erhöhten Berechtigungen ausnutzt. Obwohl GCP durch die eingeführten Maßnahmen die Sicherheit neuer Deployments verbessert hat, bleibt das Risiko für bestehende Instanzen bestehen. Daher ist es unerlässlich, die IAM-Richtlinien (Identity and Access Management) zu überprüfen und gegebenenfalls anzupassen.

Die ConfusedFunction-Schwachstelle betrifft sowohl die erste als auch die zweite Generation der Cloud Functions. Angreifer können durch das Einfügen eines bösartigen Pakets in die Abhängigkeiten der Funktion während der Bereitstellung auf diese Instanz zugreifen und ihre Privilegien eskalieren. Ein bösartiges Preinstall-Skript im Paket könnte beispielsweise den Zugriffstoken des Cloud Build-Servicekontos aus den Metadaten der Instanz extrahieren und an einen externen Server senden, wodurch der Angreifer die Identität des Cloud Build-Servicekontos übernehmen kann. Diese Schwachstelle ist besonders gefährlich, da der gesamte Prozess im Hintergrund abläuft. GCP hat als Reaktion auf die Meldung von ConfusedFunction zusätzliche Sicherheitsmaßnahmen eingeführt. Eine wichtige Änderung betrifft die Möglichkeit, ein benutzerdefiniertes Servicekonto für die Cloud Build-Instanz zu verwenden, das spezifisch auf die Anforderungen der Cloud Function zugeschnitten ist.

(ID:50130360)