O Google Cloud aparentemente tem um problema de segurança que nem os firewalls conseguem parar

Foi encontrada uma configuração incorreta no Google Cloud Platform que pode dar aos agentes de ameaças controle total sobre um endpoint de máquina virtual (VM) de destino, disseram pesquisadores.

Em uma postagem no blog publicada pelos especialistas em resposta a incidentes na nuvem Mitiga, a empresa observou que, ao (ab)usar recursos legítimos do sistema, invasores em potencial podem ler e gravar dados de VMs que, em teoria, podem resultar em uma aquisição completa do sistema.

Mitiga, no entanto, ressalta que isso não é uma vulnerabilidade ou erro do sistema, mas sim, que é descrito como uma “funcionalidade perigosa”.

Nenhuma falha explorável

Mitiga observa que os agentes de ameaças podem usar uma API de metadados exposta, chamada “getSerialPortOutput”, que geralmente rastreia e lê bloqueios em portas seriais.

Os pesquisadores descreveram a chamada da API como um “método legado de depuração de sistemas”, pois as portas seriais não são portas no sentido TCP/UP, mas sim arquivos no formato /dev/ttySX, já que este é o Linux.

“Nós da Mitiga acreditamos que essa configuração incorreta provavelmente é comum o suficiente para justificar preocupação; no entanto, com controle de acesso adequado ao ambiente GCP, não há falha explorável”, diz o relatório.

Depois de divulgar as descobertas ao Google, a empresa concordou que a configuração incorreta poderia ser usada para contornar as configurações do firewall. Mitiga sugeriu que o Google alterasse duas coisas na função getSerialPortOutput, restringir seu uso apenas a contas com permissões altas e permitir que as empresas desativem qualquer adição ou alteração de metadados Compute VM em tempo de execução.

Além disso, a empresa recomendou que o Google revise sua documentação do GCP para esclarecer ainda mais que firewalls e outros controles de acesso à rede não restringem totalmente o acesso às VMs.

O Google concordou apenas parcialmente: “Após uma longa troca, o Google acabou concordando que certas partes de sua documentação poderiam ser esclarecidas e concordou em fazer alterações na documentação que indicavam que o plano de controle pode acessar VMs independentemente das configurações do firewall. O Google não reconheceu a outras recomendações nem falar sobre detalhes sobre se um usuário do GCP pode evitar cobranças usando o método getSerialPortOutput”, afirma o relatório.