0
0
Os invasores podem exfiltrar os dados da empresa armazenados nos compartimentos de armazenamento do Google Cloud Platform (GCP) sem deixar rastros forenses óbvios da atividade maliciosa nos registros de acesso ao armazenamento do GCP, descobriram os pesquisadores da Mitiga.
Ataque de exfiltração de dados do GCP (Fonte: Mitiga)
Exfiltração de dados ocultos de buckets do GCP
Resumindo, o principal problema é que os logs básicos de armazenamento do GCP – que, aliás, não são habilitados por padrão – usam a mesma descrição/evento ( objects.get ) para diferentes tipos de acesso, por exemplo: leitura de arquivo, download um arquivo, copiando um arquivo para um bucket/servidores externos e lendo os metadados do arquivo/objeto.
“No uso normal, os arquivos (ou objetos) dentro dos objetos de armazenamento são lidos várias vezes ao dia como parte da atividade diária da organização”, observou Veronica Marinov, respondente a incidentes na nuvem da Mitiga .
“Isso pode facilmente levar a milhares ou milhões de eventos de leitura. Não ser capaz de identificar padrões de ataque específicos, como download ou cópia para balde externo, torna extremamente difícil para as organizações determinar se e quais informações foram roubadas.”
Ela também detalhou um exemplo de um possível ataque, que depende de o agente da ameaça obter controle sobre a conta de usuário do GCP de um funcionário pertencente à organização visada e, em seguida, conceder permissão a essa conta para copiar dados para a organização do GCP do agente da ameaça inserindo um comando simples em Linha de comando do Google.
Etapas de mitigação de problemas e busca de ameaças
Tanto a Mitiga quanto a equipe de segurança do Google não consideram isso uma vulnerabilidade, mas uma “deficiência de segurança”.
“Depois de entrar em contato com a equipe de segurança do Google e trabalhar com eles sobre esse problema, compilamos uma lista de etapas que podem ser executadas para mitigar e detectar esse ataque”, acrescentou Marinov.
Essas etapas incluem a definição (por meio do VPC Service Controls) de um perímetro de serviço em torno dos recursos dos serviços gerenciados pelo Google para controlar a comunicação entre esses serviços e o uso de cabeçalhos de restrição da organização para restringir as solicitações de recursos de nuvem feitas em seus ambientes.
“Caso nem os cabeçalhos de restrição VPC Service Controls nem Organization estejam ativados, sugerimos pesquisar as seguintes anomalias: anomalias nos horários dos eventos Get/List, anomalias na entidade IAM realizando os eventos Get/List, anomalias no endereço IP do Solicitações Get/List se originam e anomalias no volume de eventos Get/List em breves períodos de tempo originários de uma única entidade.”
Por fim, os administradores também podem restringir o acesso aos recursos de armazenamento e considerar a remoção de permissões de leitura/transferência.
Não está claro por que o Google optou por não diferenciar entre os diferentes tipos de acesso nos logs quando (por exemplo) a AWS o faz.
ATUALIZAÇÃO (1º de março de 2023, 12h10 ET):
“Nossos engenheiros de segurança revisaram atentamente este relatório de registro de auditoria insuficiente no Google Cloud Storage e podemos confirmar que não há risco de exfiltração. Isso não é uma vulnerabilidade”, disse um porta-voz do Google Cloud ao Help Net Security.
“Recomendamos que os clientes do Google Cloud usem o VPC Service Controls e configurem restrições organizacionais nos buckets do Google Cloud Storage para proteção contra exfiltração. Entre isso e os logs de auditoria de nuvem configurados adequadamente, os clientes podem ter certeza de que seus dados estão seguros. Embora melhorar a análise forense de log não tenha sido um problema levantado por nossos clientes, estamos continuamente avaliando maneiras de melhorar a visão dos clientes sobre seu armazenamento. A lacuna forense destacada no blog é uma das áreas que estamos examinando.”
FONTE: HELPNET SECURITY