7月24日安全企業(yè)Tenable披露影響Google Cloud Platform(GCP)的權限提升漏洞ConfusedFunction,這項弱點發(fā)生在名為Cloud Functions的無服務器運算服務,以及稱作Cloud Build的CI/CD渠道服務。一旦遭到利用,攻擊者有機會以未經(jīng)授權的狀態(tài)訪問其他服務,或是敏感數(shù)據(jù)。他們通報此事,GCP已于部分的Cloud Build賬號著手采取緩解措施。
研究人員指出,ConfusedFunction這樣的弱點,突顯云計算服務的軟件架構極為復雜,導致服務之間的通信可能衍生問題的情形。
而對于這項漏洞發(fā)現(xiàn)的原因,是研究人員發(fā)現(xiàn)當GCP用戶創(chuàng)建、更新Cloud Functions的過程中,會觸發(fā)后端多個步驟的流程,而且,還會默認將Cloud Build服務賬號加入相關功能函數(shù)配置,并用于創(chuàng)建Cloud Build實體。由于上述的過程都在后臺運行,一般用戶不會發(fā)現(xiàn)有異。
然而,這個服務賬號具備過多權限,若是攻擊者設法成功取得創(chuàng)建或更新Cloud Functions的權限,將自己的權限提升至Cloud Build的服務賬號層級,并有機會借由這種高權限訪問其他GCP服務,例如:Cloud Storage、ArtifactRegistry、ContainerRegistry。
值得留意的是,為了兼顧兼容性,GCP并未對套用修補程序之前創(chuàng)建的Cloud Build服務賬號調整權限,而使得這些用戶仍有可能暴露于ConfusedFunction的危險其中。
再者,對于GCP采取的措施,Tenable也表示并未完全消除漏洞帶來的影響,對此,他們也呼吁用戶,必須限縮Cloud Build服務賬號的權限,若是采用Cloud Functions,最好進行監(jiān)控并采取相關的預防措施。