Абсурдная по своей природе уязвимость сильно усложняет работу экспертов по кибербезопасности.
Новое исследование показало, что злоумышленники могут воспользоваться «недостаточным» протоколированием системных журналов Google Cloud Platform для скрытной эксфильтрации конфиденциальных данных.
Google Cloud Platform (GCP) — это облачная платформа (VPC), предоставляемая компанией Google. Она позволяет пользователям хранить, обрабатывать и анализировать данные в облаке, а также запускать приложения и веб-сайты на серверах Google. На платформе доступны различные сервисы, такие как вычислительные мощности, хранилища данных, базы данных, средства искусственного интеллекта и многое другое.
«К сожалению, GCP не обеспечивает достаточный уровень протоколирования в своих системных журналах. А ведь оно необходимо для эффективного проведения любого криминалистического расследования. Этот факт делает экспертов кибербезопасности беспомощными в определении потенциальных атак с целью кражи данных», — говорится в отчёте компании по реагированию на облачные инциденты Mitiga.
Атака возможна при условии, что злоумышленник получил контроль над управлением идентификации и доступа (IAM) в целевой организации с помощью доступных ему методов. Например, при помощи социальной инженерии.
Суть уязвимости заключается в том, что журналы доступа к хранилищу GCP не обеспечивают адекватной прозрачности в отношении потенциального доступа к файлам, а также событий чтения. Вместо составления расширенного протокола событий GCP группирует их все как одно действие под названием «Получить объект».
«Одно и то же событие используется для самых разных типов доступа, в том числе: чтение файла, загрузка файла, копирование файла на внешний сервер, чтение метаданных файла и т.д.», — заявила сотрудница Mitiga.
Отсутствие различий в системных журналах может позволить злоумышленнику беспрепятственно и незаметно собирать конфиденциальные данные. Главным образом потому, что нет способа отличить злонамеренную и законную активность пользователей в системе.
В гипотетической атаке хакер может использовать интерфейс командной строки Google (gsutil) для передачи ценных данных из сегментов хранилища организации-жертвы во внешнее хранилище злоумышленника. А эксперты безопасности, даже при наличии подозрений о компрометации сети, не увидят подробностей злонамеренной активности.
Как сообщается, Google пока не исправила этот абсурдный недостаток своего продукта, однако предоставила некоторые рекомендации по смягчению последствий, которые варьируются от использования элементов управления облачными службами до использования заголовков ограничений организации для ограничения запросов к облачным ресурсам.
Информация об уязвимости была раскрыта после того, как Sysdig обнаружила сложную вредоносную кампанию под названием SCARLETEEL, нацеленную на контейнерные среды с целью кражи проприетарных данных и программного обеспечения.
Никаких овечек — только отборные научные факты