Había una falla importante en Google Plataforma en la nube (GCP) que podría haber permitido a los piratas informáticos ejecutar código malicioso de forma remota, en millones de servidores y sistemas subyacentes. La falla fue descubierta por investigadores de ciberseguridad de Tenable, quienes informaron sus hallazgos a Google. Desde entonces, la empresa ha abordado el problema y ha tapado el agujero.
Según un presione soltar compartido con TechRadar Pro A principios de esta semana, los investigadores de Tenable encontraron lo que se conoce como una vulnerabilidad de “confusión de dependencia” y la denominaron CloudImposer.
La falla podría haber permitido a los actores de amenazas ejecutar código en “posiblemente millones de servidores de GCP y los sistemas de sus clientes”, dijeron. App Engine, Cloud Function y Cloud Composer fueron los más afectados por esta vulnerabilidad.
Radio de explosión “inmenso”
La falla se encontró en el proceso de instalación de dependencias de Composer de GCP, lo que permitió a los atacantes cargar un paquete malicioso en PyPI, que luego se preinstalaría en todas las instancias de Composer, con permisos altos.
Como resultado, los actores maliciosos podrían ejecutar código de forma remota, extraer credenciales de cuentas de servicio y moverse lateralmente a otros servicios de GCP.
Tenable dijo que sus investigadores encontraron el error mientras realizaban un análisis profundo de la documentación tanto de GCP como de la Python Software Foundation. La vulnerabilidad podría haber resultado en ataques a la cadena de suministro en el nube que, como dijeron, puede ser “exponencialmente más dañino” en comparación con los entornos locales. Dado que un solo paquete malicioso puede propagarse rápidamente por varias redes, millones de personas podrían verse expuestas.
“El radio de acción de CloudImposer es inmenso”, comentó Liv Matan, ingeniera de investigación sénior de Tenable. “Al descubrir y revelar esta vulnerabilidad, cerramos una puerta importante que los atacantes podrían haber explotado a gran escala”.
Tenable también aprovechó la oportunidad para criticar a Google por su “sorprendente falta de concienciación y medidas preventivas” contra lo que describe como una “técnica de ataque conocida desde hace años”.