2024年9月16日,美國網路安全公司Tenable的研究人員發文稱,在 Google Cloud Platform (GCP) 中發現了一個遠端程式碼執行 (RCE) 漏洞,該漏洞現雖已修復,稱之為 CloudImposer。該漏洞可能允許攻擊者劫持Google在每個 Google Cloud Composer,(Google Cloud Composer 為Google Cloud平臺上的一項託管式工作流程編排服務)的內部軟體依賴項。
Tenable的研究人員發現了一個稱為 CloudImposer的RCE漏洞,該漏洞可能允許惡意攻擊者在Google伺服器上執行程式碼。
具有風險的檔案導致缺陷
Tenable的研究人員在找到GCP和Python軟體上,發現CloudImposer,這些檔案可能會讓用戶面臨被稱為依賴性混淆的供應鏈攻擊的風險。受影響的GCP服務包括 App Engine、Cloud Function Cloud Composer。這項研究表明,儘管依賴混淆攻擊技術幾年前就已被發現,但對它的認識,以及如何預防的方法,卻令人驚訝和擔憂,即便是Google這樣的領先技術供應商亦是如此。
雲端供應鏈攻擊比本地端供應鏈攻擊的危害性更大。例如,雲端服務中的一個惡意軟體包就可能會被大量部署並侵害數百萬用戶。雲端供應商和雲端用戶之間需採取結合並相對負責任的安全實務,就可減輕與雲端供應鏈攻擊相關的諸多風險。具體來說,使用者應該分析其套件安裝過程的相關環境,以防止遭誤用,特別是Python 中的 --extra-index-url 參數。此項研究已在Black Hat USA 2024上發表相關資訊。
雲端供應鏈攻擊
在供應鏈攻擊中,攻擊者滲透提供者合法供應系統。當提供者無意中派發其軟體的受損版本時,其所屬使用者就容易受到攻擊,從而導致廣泛的安全性漏洞。在雲端,供應鏈攻擊已升級到一個全新的水準,幾乎就像傳統的類固醇攻擊一樣。雲端的大規模和廣泛採用,以及其互連和分散式的性質,擴大雲端供應鏈威脅。
Tenable的研究人員發現的一個名為 CloudImposer漏洞,該漏洞可能允許攻擊者透過破壞Google Cloud Platform用於編排軟體管道的 Cloud Composer服務來進行大規模供應鏈攻擊。具體來說,CloudImposer可能允許攻擊者對Cloud Composer(Apache Airflow服務的託管服務版本)進行依賴性混淆攻擊。
供應鏈攻擊,當攻擊者在軟體供應商軟體註冊表中插入惡意軟體插件時,就會發生依賴性混亂。如果軟體供應商無意中將惡意軟體包合併到其產品中,則該產品就會受到汙染。截至2024年6月,Apache Airflow系統(一個處理資料管道和工作流程的開源系統)的「apache-airflow」Python套件已被下載近2,200萬次。Google Cloud Composer,是Apache Airflow的Google託管服務版本。由於採用率高,Google Cloud Composer部署的單一惡意軟體包的影響極為驚人的。這是一種潛在的連鎖反應,危及眾多組織中的數百萬用戶。這些數字凸顯攻擊者利用CloudImposer會對Google及其客戶造成巨大的潛在損害。
由於特定雲端服務中的單一漏洞可能會導致廣泛的漏洞,因此保護雲端中整個軟體供應鏈的安全性至關重要。
Google負責任的揭露相關資訊
據Tenable研究人員聲稱,向Google揭露了CloudImposer漏洞以及有風險的檔案。Google立即將CloudImposer歸類為RCE漏洞,並迅速、專業地做出回應,透過徹底問題調查並採取適當措施,以降低風險,展現Google對安全的承諾。
Google Cloud 修補漏洞並採取額外措施
根據Tenable的報告,Google已修復在Google Cloud Composer 中從私有註冊表安裝私有套件時利用 --extra-index-url 參數的易受攻擊的腳本。還檢查易受攻擊的套件實例的校驗,據Google所知,尚無明顯證據顯示CloudImposer曾被利用。
Google承認Tenable程式碼在內部伺服器中運行,但表示不會在客戶的環境中運行,因該程式碼無法通過整合測試。Google建議GCP 用戶使用「--index-url」參數而非「--extra-index-url」參數。亦採納Tenable建議,且建議GCP用戶使用GCP Artifact Registry虛擬儲存庫來安全地控制pip搜尋順序
Tenable 的高級安全研究員Liv Matan總結道:「雲端提供商和雲端客戶有責任將的安全與實務相結合,便可大大減輕與雲端供應鏈攻擊相關的風險。」