2023年5月25题,谷歌修复了其谷歌云平台数据库服务中的一个严重Bug,研究人员曾利用该Bug访问敏感数据和机密,并提升权限以破坏其他云服务,包括潜在的客户环境中的云服务。
谷歌云平台 (GCP),它提供一系列服务,包括名为 CloudSQL 的托管数据库服务。CloudSQL 能够支持三种不同的数据库引擎:MySQL、PostgreSQL 和 SQL Server。
Dig Security 的研究人员通过GCP CloudSQL 服务周围安全层的漏洞发现了该漏洞,该服务支持多种不同的数据库引擎——包括 MySQL、PostgreSQL 和 SQL Server——在环境中使用,他们在一篇博客文章中透露5 月 25 日。
《GCP CloudSQL Vulnerability Leads to Internal Container Access and Data Exposure》
Dig Security 的 Ofrir Balassiano 和 Ofrir Shaty 在帖子中透露,该漏洞允许他们提升初始权限并将用户添加到 DbRootRole 角色,这是 GCP 中的管理员角色。
从那里,他们利用角色权限架构中的另一个严重错误配置,进一步提升他们的特权,最终授予恶意用户系统管理员角色,以获得对 SQL Server 的完全控制。之后,他们就可以访问托管数据库的操作系统。
“此时,我们可以访问主机操作系统中的敏感文件,列出文件和敏感路径,读取密码,并从机器中提取机密,”研究人员在帖子中写道。“此外,主机可以访问底层服务代理,这可能会导致进一步升级到其他环境。”
他们说,漏洞的后一个方面可能让攻击者利用该漏洞访问利用 GCP 的客户环境中的资源。
Dig Security 在 2 月份发现了该漏洞,并遵循协调披露做法,使用 Google 的漏洞奖励计划将此问题通知公司。研究人员表示,在接下来的两个月里,两家公司通力合作,谷歌在 4 月份解决并解决了这些问题,并于 4 月 25 日通过其漏洞赏金计划奖励 Dig。
浏览 Google Cloud Platform 的 SQL 权限
研究人员解释说,对该漏洞的全面利用是一个多步骤过程,其中第一步是通过 GCP SQL Server 上的默认权限实现的。
他们说,用户可以在 GCP SQL Server 上获得两个级别的权限——服务器级别和数据库级别——这一点对于理解漏洞的工作原理很重要。
研究人员解释说,服务器权限包含在云中的实例级别完成的操作,而数据库权限是针对在数据库实例本身内部完成的操作。其中,“CONTROL SERVER”是用户可以在实例级别授予的最强大权限,而“CONTROL DATABASE”是用户可以在数据库级别授予的最强大权限,他们说。
SQL Server 的默认登录为用户提供了 GCP 角色“CustomerDbRootRole”,这不允许使用“创建/更改”命令在服务器级别执行任何操作。他们解释说,它也没有对 sys 对象的权限,这意味着用户不能在任何系统数据库中创建对象。因此,为了完成攻击,他们需要提升自己的权限。
利用 SQL Server 漏洞
研究人员在 GCP 中为 SQL Server 创建的安全层中发现了一个漏洞,该漏洞允许他们提升初始默认权限,并将他们创建的用户添加到 DbRootRole 角色,这是一个 GCP 管理员角色,他们在帖子中解释道。
一旦研究人员扮演了这个角色,他们就可以完成几项以前无法完成的任务;然而,由于它不是系统管理员角色,他们仍然没有对 SQL Server 的完全权限,他们说。
他们最终在角色权限架构中发现了使用严重错误配置(云环境中常见的问题)的成功之路,这使他们能够进一步提升权限,授予用户一个允许完全控制 SQL Server 的 sysadmin 角色,他们说。研究人员表示,这就是让他们能够完全访问托管数据库及其所有敏感文件、密码、机密和其他关键数据的操作系统的原因。
此外,研究人员表示,主机可以访问连接到客户环境中资源的服务代理,从而使使用 GCP 在其自身环境中运行系统的企业面临风险。
他们在帖子中写道:“获得对秘密、URL 和密码等内部数据的访问权限可能会导致云提供商的数据和客户的敏感数据暴露,这是一个重大的安全事件。”
他们说,利用对操作系统的访问权限,研究人员还发现了与 Docker 图像存储库相关的内部谷歌 URL,这些 URL 允许他们访问内部存储库,谷歌也在其补救措施中修复了该存储库。
减轻云网络安全风险
云配置错误仍然是云安全漏洞的常见原因,给客户带来风险。Balassiano 告诉 Dark Reading,就 Dig 研究人员发现的漏洞而言,使 Google Cloud 变得难以保护的一个问题是 SQL Server 不是开源的,这意味着必须围绕它构建一个安全层。
事实上,随着越来越多的数据存储在云环境中,组织应该应用数据安全控制,无论他们的云供应商提供什么来保护自己,即使供应商的环境有缺陷,他说。
“提供组合DSPM(数据安全态势管理)和 DDR(数据检测和响应)的数据安全平台可以减少不良行为者在没有快速响应的情况下成功泄露数据的机会,”Balassiano 说。
他说,为了避免像团队发现的那样的漏洞被潜在利用,组织可以从部署 DSPM 解决方案中获益,该解决方案可以定位他们最敏感的数据并确保其受到保护。这意味着即使存在违规行为,数据也会被加密并包含风险。
Balassiano 补充说:“为了提前突破,他们还应该应用 DDR,通过提供实时检测和响应来防止数据滥用和数据泄露。”
文章来源:https://www.darkreading.com/cloud/google-cloud-bug-server-takeover-cloudsql-service
