Исследователи выявили уязвимость ConfusedFunction в облачной платформе Google

Исследователи кибербезопасности обнаружили уязвимость в службе облачных функций Google Cloud Platform, которая позволяет злоумышленникам повышать свои привилегии и получать доступ к конфиденциальным данным. Компания Tenable назвала эту уязвимость ConfusedFunction.

Злоумышленники могут использовать эту уязвимость для получения доступа к различным сервисам, включая облачную сборку, хранилище, реестр артефактов и реестр контейнеров. Облачные функции, связанные с этой проблемой, представляют собой среду бессерверного выполнения, где разработчики могут создавать универсальные функции, запускаемые в ответ на определенные облачные события.

Учетная запись службы облачной сборки создается в фоновом режиме и по умолчанию привязана к экземпляру облачной сборки при создании или обновлении облачной функции. Эта учетная запись открывает возможности для потенциальной вредоносной деятельности из-за ее чрезмерных разрешений.

После ответственного раскрытия Google обновил поведение по умолчанию, чтобы в Cloud Build использовалась учетная запись службы Compute Engine по умолчанию для предотвращения неправильного использования. Однако эти изменения не распространяются на существующие экземпляры.

Исследователь Tenable Лив Матан подчеркнула, что уязвимость ConfusedFunction демонстрирует проблемные сценарии, которые могут возникнуть из-за сложности программного обеспечения и межведомственной связи в сервисах облачного провайдера.