Новости Эксперты выявили слабое место Google Cloud Platform, способное замаскировать действия хакеров

[NewsMaker]

Абсурдная по своей природе уязвимость сильно усложняет работу экспертов по кибербезопасности.​

---

---

Новое исследование показало, что злоумышленники могут воспользоваться «недостаточным» протоколированием системных журналов Для просмотра ссылки Войди или Зарегистрируйся Cloud Platform для скрытной эксфильтрации конфиденциальных данных.

Google Cloud Platform (GCP) — это облачная платформа ( Для просмотра ссылки Войди или Зарегистрируйся ), предоставляемая компанией Google. Она позволяет пользователям хранить, обрабатывать и анализировать данные в облаке, а также запускать приложения и веб-сайты на серверах Google. На платформе доступны различные сервисы, такие как вычислительные мощности, хранилища данных, базы данных, средства искусственного интеллекта и многое другое.

«К сожалению, GCP не обеспечивает достаточный уровень протоколирования в своих системных журналах. А ведь оно необходимо для эффективного проведения любого криминалистического расследования. Этот факт делает экспертов кибербезопасности беспомощными в определении потенциальных атак с целью кражи данных», — говорится в Для просмотра ссылки Войди или Зарегистрируйся компании по реагированию на облачные инциденты Для просмотра ссылки Войди или Зарегистрируйся .

Атака возможна при условии, что злоумышленник получил контроль над управлением идентификации и доступа ( Для просмотра ссылки Войди или Зарегистрируйся ) в целевой организации с помощью доступных ему методов. Например, при помощи социальной инженерии.

Суть уязвимости заключается в том, что журналы доступа к хранилищу GCP не обеспечивают адекватной прозрачности в отношении потенциального доступа к файлам, а также событий чтения. Вместо составления расширенного протокола событий GCP группирует их все как одно действие под названием «Получить объект».

«Одно и то же событие используется для самых разных типов доступа, в том числе: чтение файла, загрузка файла, копирование файла на внешний сервер, чтение метаданных файла и т.д.», — заявила сотрудница Mitiga.

Отсутствие различий в системных журналах может позволить злоумышленнику беспрепятственно и незаметно собирать конфиденциальные данные. Главным образом потому, что нет способа отличить злонамеренную и законную активность пользователей в системе.

---

---

В гипотетической атаке хакер может использовать интерфейс командной строки Google (gsutil) для передачи ценных данных из сегментов хранилища организации-жертвы во внешнее хранилище злоумышленника. А эксперты безопасности, даже при наличии подозрений о компрометации сети, не увидят подробностей злонамеренной активности.

Как сообщается, Google пока не исправила этот абсурдный недостаток своего продукта, однако предоставила некоторые рекомендации по смягчению последствий, которые варьируются от использования элементов управления облачными службами до использования Для просмотра ссылки Войди или Зарегистрируйся для ограничения запросов к облачным ресурсам.

Информация об уязвимости была раскрыта после того, как Для просмотра ссылки Войди или Зарегистрируйся обнаружила Для просмотра ссылки Войди или Зарегистрируйся под названием SCARLETEEL, нацеленную на контейнерные среды с целью кражи проприетарных данных и программного обеспечения.