云計算平臺GCP的服務(wù)存在權(quán)限提升漏洞，未經(jīng)授權(quán)的攻擊者可借此訪問敏感數(shù)據(jù)

7月24日安全企業(yè)Tenable披露影響Google Cloud Platform（GCP）的權(quán)限提升漏洞ConfusedFunction，這項弱點發(fā)生在名為Cloud Functions的無服務(wù)器運算服務(wù)，以及稱作Cloud Build的CI/CD渠道服務(wù)。一旦遭到利用，攻擊者有機會以未經(jīng)授權(quán)的狀態(tài)訪問其他服務(wù)，或是敏感數(shù)據(jù)。他們通報此事，GCP已于部分的Cloud Build賬號著手采取緩解措施。

研究人員指出，ConfusedFunction這樣的弱點，突顯云計算服務(wù)的軟件架構(gòu)極為復(fù)雜，導(dǎo)致服務(wù)之間的通信可能衍生問題的情形。

而對于這項漏洞發(fā)現(xiàn)的原因，是研究人員發(fā)現(xiàn)當(dāng)GCP用戶創(chuàng)建、更新Cloud Functions的過程中，會觸發(fā)后端多個步驟的流程，而且，還會默認(rèn)將Cloud Build服務(wù)賬號加入相關(guān)功能函數(shù)配置，并用于創(chuàng)建Cloud Build實體。由于上述的過程都在后臺運行，一般用戶不會發(fā)現(xiàn)有異。

然而，這個服務(wù)賬號具備過多權(quán)限，若是攻擊者設(shè)法成功取得創(chuàng)建或更新Cloud Functions的權(quán)限，將自己的權(quán)限提升至Cloud Build的服務(wù)賬號層級，并有機會借由這種高權(quán)限訪問其他GCP服務(wù)，例如：Cloud Storage、ArtifactRegistry、ContainerRegistry。

值得留意的是，為了兼顧兼容性，GCP并未對套用修補程序之前創(chuàng)建的Cloud Build服務(wù)賬號調(diào)整權(quán)限，而使得這些用戶仍有可能暴露于ConfusedFunction的危險其中。

再者，對于GCP采取的措施，Tenable也表示并未完全消除漏洞帶來的影響，對此，他們也呼吁用戶，必須限縮Cloud Build服務(wù)賬號的權(quán)限，若是采用Cloud Functions，最好進(jìn)行監(jiān)控并采取相關(guān)的預(yù)防措施。