« Tüm yayınlar

Google, Kabul Ettiği Kritik GCP Açığına Ödül Vermeyi Reddetti

Justin O'Leary, Google Cloud'un Config Connector bileşeninde IAM yetkilendirmesini atlatan kritik açık buldu; Google önce onayladı, sonra ödülü reddetti.

Bulut güvenliği araştırmacısı Justin O'Leary, Google Cloud'un Kubernetes tabanlı Config Connector bileşeninde 'ConfigConfusion' adını verdiği kritik bir açık buldu. Açık, herhangi bir namespace kullanıcısının GCP Identity and Access Management (IAM) denetimlerini atlatarak organizasyonun en üst yetki seviyesi olan Organization Owner rolünü ele geçirmesine izin veriyor. Google başlangıçta raporu P1/S1 önceliğiyle kabul edip 'Nice catch!' yanıtı verse de, on bir gün sonra kararını değiştirerek açığın ödül kriterlerini karşılamadığını ve yazılımın 'amaçlandığı gibi çalıştığını' bildirdi.

O'Leary'nin analizine göre sorun, Config Connector'ın kullanıcı adına ayrıcalıklı işlemler gerçekleştirirken yetkilendirme kontrolü yapmamasından kaynaklanıyor; bu da klasik bir 'confused deputy' (kafası karışık vekil) zafiyeti oluşturuyor. Sadece birkaç satır YAML ile, GCP izni olmayan bir kullanıcı beş saniye içinde tüm organizasyonun projelerine, gizli anahtarlarına, faturalandırmasına ve hatta e-posta hesaplarına tam erişim kazanabiliyor; üstelik saldırganın Kubernetes kimliği hiçbir zaman GCP IAM sistemine dokunmadığı için işlem denetim izi bırakmıyor.

Google, açığın yalnızca zaten Organization Admin rolüne sahip ayrıcalıklı bir servis hesabına erişimi olan saldırganlar için geçerli olduğunu savunuyor; ancak O'Leary bu iznin normal kullanım için gerekli olduğunu ve tek başına kötüye kullanım riski oluşturmaması gerektiğini vurguluyor. Vaka üç aydır 'in progress (accepted)' durumunda kalmış, CVE atanmamış ve düzeltme yapılmamış. O'Leary'nin Microsoft'un Azure Backup for AKS ürününde bulduğu benzer bir yetki yükseltme açığının da reddedilip sessizce yamalanması, büyük bulut sağlayıcılarının bug bounty süreçlerinde şeffaflık ve iletişim sorunlarına işaret eden tekrarlayan bir örüntüye dikkat çekiyor.

» KaynakHashnode #6