文章详情
云计算平台GCP的服务存在权限提升漏洞,未经授权的攻击者可借此访问敏感数据
十轮网
3674
2024-07-27
7月24日安全企业Tenable披露影响Google Cloud Platform(GCP)的权限提升漏洞ConfusedFunction,这项弱点发生在名为Cloud Functions的无服务器运算服务,以及称作Cloud Build的CICD渠道服务。

下载 (6).jpg

7月24日安全企业Tenable披露影响Google Cloud Platform(GCP)的权限提升漏洞ConfusedFunction,这项弱点发生在名为Cloud Functions的无服务器运算服务,以及称作Cloud Build的CI/CD渠道服务。一旦遭到利用,攻击者有机会以未经授权的状态访问其他服务,或是敏感数据。他们通报此事,GCP已于部分的Cloud Build账号着手采取缓解措施。

研究人员指出,ConfusedFunction这样的弱点,突显云计算服务的软件架构极为复杂,导致服务之间的通信可能衍生问题的情形。

而对于这项漏洞发现的原因,是研究人员发现当GCP用户创建、更新Cloud Functions的过程中,会触发后端多个步骤的流程,而且,还会默认将Cloud Build服务账号加入相关功能函数配置,并用于创建Cloud Build实体。由于上述的过程都在后台运行,一般用户不会发现有异。

然而,这个服务账号具备过多权限,若是攻击者设法成功取得创建或更新Cloud Functions的权限,将自己的权限提升至Cloud Build的服务账号层级,并有机会借由这种高权限访问其他GCP服务,例如:Cloud Storage、ArtifactRegistry、ContainerRegistry。

值得留意的是,为了兼顾兼容性,GCP并未对套用修补程序之前创建的Cloud Build服务账号调整权限,而使得这些用户仍有可能暴露于ConfusedFunction的危险其中。

再者,对于GCP采取的措施,Tenable也表示并未完全消除漏洞带来的影响,对此,他们也呼吁用户,必须限缩Cloud Build服务账号的权限,若是采用Cloud Functions,最好进行监控并采取相关的预防措施。

Google Cloud 谷歌云 云计算
版权说明
本文内容来自于十轮网,本站不拥有所有权,不承担相关法律责任。文章内容系作者个人观点,不代表快出海对观点赞同或支持。如有侵权,请联系管理员(zzx@kchuhai.com)删除!
企业推荐
更多
IPIDEA全球IP代理
IPIDEA成立于2019年,总部坐落于江苏徐州,作为一家全球领先的企业级海外IP服务商,已按照国家要求在相关部门备案,并取得了合法经营的资质。从业多年,始终专注于为全球用户提供多方位的优质海外IP解决方案,凭借优质的服务和良好的口碑,已同全球10万+跨境企业达成深度合作!
AdsPower 指纹浏览器
AdsPower 是一款专为跨境人打造的指纹浏览器,致力于解决出海账号矩阵安全管理问题,目前已通过所有网站检测。平台提供独特的指纹配置、专业的浏览器自动化、高效的团队协作功能,为您的账号环境保驾护航!
StormProxies
全球大数据IP资源服务商一千多家公司选择了StormProxies,全球纯净住宅IP,让数据采集更简单。
TopOn
全球领先的移动广告聚合变现平台
Smartproxy
Smartproxy产品为上海圣钧信息科技有限公司旗下的一款大数据产品,提供全球各地的优质大数据与信息采集的基础资源。目前,Smartproxy遍布全球220+国家与地区,每日高达5000万真实住宅IP资源,高速、高可用率。致力于为全球用户提供优质的大数据代理服务。
活动推荐
更多
第九届GGCC全球对接会
第九届GGCC全球对接会
2024-11-06 09:00 至 17:30
广州
立即报名
2024腾讯全球数字生态大会 - 企业出海峰会
2024腾讯全球数字生态大会 - 企业出海峰会
2024-09-06 09:40 至 12:30
线上直播
已结束
谷歌云
谷歌云
谷歌云借助Google的云计算服务,包括数据管理、混合云和多云端环境以及 AI 和机器学习方面的服务,着力应对业务挑战。
+ 关注