文章详情
云计算平台GCP的服务存在权限提升漏洞,未经授权的攻击者可借此访问敏感数据
十轮网
4012
2024-07-27
7月24日安全企业Tenable披露影响Google Cloud Platform(GCP)的权限提升漏洞ConfusedFunction,这项弱点发生在名为Cloud Functions的无服务器运算服务,以及称作Cloud Build的CICD渠道服务。

下载 (6).jpg

7月24日安全企业Tenable披露影响Google Cloud Platform(GCP)的权限提升漏洞ConfusedFunction,这项弱点发生在名为Cloud Functions的无服务器运算服务,以及称作Cloud Build的CI/CD渠道服务。一旦遭到利用,攻击者有机会以未经授权的状态访问其他服务,或是敏感数据。他们通报此事,GCP已于部分的Cloud Build账号着手采取缓解措施。

研究人员指出,ConfusedFunction这样的弱点,突显云计算服务的软件架构极为复杂,导致服务之间的通信可能衍生问题的情形。

而对于这项漏洞发现的原因,是研究人员发现当GCP用户创建、更新Cloud Functions的过程中,会触发后端多个步骤的流程,而且,还会默认将Cloud Build服务账号加入相关功能函数配置,并用于创建Cloud Build实体。由于上述的过程都在后台运行,一般用户不会发现有异。

然而,这个服务账号具备过多权限,若是攻击者设法成功取得创建或更新Cloud Functions的权限,将自己的权限提升至Cloud Build的服务账号层级,并有机会借由这种高权限访问其他GCP服务,例如:Cloud Storage、ArtifactRegistry、ContainerRegistry。

值得留意的是,为了兼顾兼容性,GCP并未对套用修补程序之前创建的Cloud Build服务账号调整权限,而使得这些用户仍有可能暴露于ConfusedFunction的危险其中。

再者,对于GCP采取的措施,Tenable也表示并未完全消除漏洞带来的影响,对此,他们也呼吁用户,必须限缩Cloud Build服务账号的权限,若是采用Cloud Functions,最好进行监控并采取相关的预防措施。

Google Cloud 谷歌云 云计算
版权说明
本文内容来自于十轮网,本站不拥有所有权,不承担相关法律责任。文章内容系作者个人观点,不代表快出海对观点赞同或支持。如有侵权,请联系管理员(zzx@kchuhai.com)删除!
企业推荐
更多
Cloudflare
CloudFlare是一家国际CDN及网络安全服务商,CloudFlare提供有独特技术,能提高任何互联网应用的性能和安全性。
AdsPower 指纹浏览器
AdsPower 是一款专为跨境人打造的指纹浏览器,致力于解决出海账号矩阵安全管理问题,目前已通过所有网站检测。平台提供独特的指纹配置、专业的浏览器自动化、高效的团队协作功能,为您的账号环境保驾护航!
福瑞笙
FRS福瑞笙是提供多种专业接入方式的云通信服务公司,支持企业的通信需求,提供包括营销短信、通知短信、验证码短信、私人短信、语音提醒、语音播报、语音验证、私人语音、邮件服务、社交媒体服务等等,我们致力于为客户提供个性化的专属服务,拥有多样化的通信产品可供客户自主选择,多类型的需求在FRS都能得到满足。
TopOn
全球领先的移动广告聚合变现平台
甲骨文
甲骨文公司 (NYSE:ORCL) 创立于 1977 年,总部位于美国德克萨斯州。甲骨文公司是一家全球性的企业云技术提供商,致力于赋能各种规模的企业的数字化转型。甲骨文公司提供自治数据库、大数据、分析及机器学习等高科技产品,及在销售、服务、市场营销、人力资源、财务、供应链和生产制造等基于云技术平台的集成应用。
活动推荐
更多
出海成本节约90%,AI 如何助力营销「破圈」?
出海成本节约90%,AI 如何助力营销「破圈」?
2025-01-24 14:00 至 16:00
线上直播
已结束
第九届GGCC全球对接会
第九届GGCC全球对接会
2024-11-06 09:00 至 17:30
广州
已结束
谷歌云
谷歌云
谷歌云借助Google的云计算服务,包括数据管理、混合云和多云端环境以及 AI 和机器学习方面的服务,着力应对业务挑战。
+ 关注