Google Cloud è esposto ad abusi “transitivi” di accesso: la ricerca di Vectra AI

Set 18, 2024 Approfondimenti, In evidenza, Minacce, RSS, Vulnerabilità

---

Negli ultimi tempi gli abusi “transitivi” di accesso, cioè quelli ottenuti indirettamente tramite un intermediario di fiducia, si stanno diffondendo, allarmando li esperti di cybersecurity.

Del problema si è occupato anche Kat Traxler, Principal Security Researcher di Vectra AI, il quale ha pubblicato una ricerca su questo tipo di abusi all’interno di Google Cloud, spiegando che il servizio Document AI consente agli utenti di leggere qualsiasi oggetto Cloud Storage nello stesso progetto.

Il servizio si occupa di estrarre informazioni da documenti non strutturati. L’agente che si occupa di raccogliere i dati e di fornire i risultati in output possiede dei permessi molto estesi che gli consentono di accedere a qualsiasi bucket Cloud Storage dello stesso progetto. Anche se l’utente che esegue il servizio Document AI ha dei permessi limitati, l’agente che materialmente esegue il processo non rispetta questi limiti e consente attacchi di data exfiltration.

“Sfruttare il servizio (e la sua identità) per esfiltrare i dati costituisce un abuso transitivo di accesso che aggira i controlli di accesso previsti e compromette la riservatezza dei dati” spiega Traxler.

Per sfruttare l’exploit, un attaccante deve sfruttare un processo di Document AI già esistente sul dispositivo o ottenere i permessi di creazione per aggiungerne uno che gli permetta di leggere dai bucket. Se invece Document AI non è mai stato usato in qualche progetto, l’attaccante deve prima abilitare il servizio; una volta abilitato Document AI, si ottiene in automatico il ruolo “project-level” che consente di procedere con l’attacco.

Abusi transitivi di accesso: la risposta di Google

Il team di Vectra AI ha notificato il problema a Google il 4 aprile tramite il Vulnerability Report Program e, dopo mesi di analisi, la compagnia ha confermato l’esistenza della vulnerabilità, classificandola di categoria S2C, ovvero “bypass di controlli di sicurezza centrali”.

Inizialmente Google aveva comunicato a Traxler che la vulnerabilità non poteva essere considerata parte del Vulnerability Reward Program: “a una prima analisi, il problema non sembra abbastanza grave da qualificarsi per un premio” aveva scritto la compagnia al ricercatore. In seguito, Google è tornata sui suoi passi e ha deciso di considerare il bug valido per il programma di ricompensa.

“Google ha fatto retromarcia sulla sua decisione di non fornire una ricompensa, citando ‘documentazione insufficiente o incorretta’ come causa. La proposta di bug è stata ora classificata come ‘bypass di controlli di sicurezza centrali’ ed è stata definita una ricompensa. Non c’è indicazione del quando o del come il problema verrà risolto” ha spiegato Traxler.

La vulnerabilità colpisce tutti i clienti Google Cloud, anche se non utilizzano Document AI. Al momento Google non ha rilasciato dei fix per risolvere il problema, ma gli utenti possono mitigare i rischi usando il servizio in progetti isolati e segmentati e circsoscrivendo l’uso di Document AI e delle sue API, abilitandole solo quando è necessario. 

---

• abusi transitivi di accesso, bypass controlli di sicurezza, cloud storage, Document AI, esfiltrazione dati, Google Cloud, Vectra AI

---

---