Google Cloud weist möglicherweise einige besorgniserregende Sicherheitslücken auf, die es Angreifern ermöglichen könnten, Daten aus dem Cloud-Speicher zu exfiltrieren (öffnet in neuem Tab) Plattform, ohne entdeckt zu werden.
Die Ergebnisse stammen von den Cybersicherheitsforschern Mitiga, die feststellten, dass die Protokolle der Google Cloud Platform (GCP), die normalerweise verwendet werden, um Angriffe zu identifizieren und zu verstehen, was Bedrohungsakteure erreichen konnten, unterdurchschnittlich sind und viel zu wünschen übrig lassen.
In ihrem aktuellen Zustand bieten sie nicht das Maß an Transparenz, um „effektive forensische Untersuchungen“ zu ermöglichen, sagten die Forscher und kamen zu dem Schluss, dass die Organisationen, die die GCP verwenden, „blind“ gegenüber potenziellen Datenexfiltrationsangriffen sind.
Blind für Angriffe
Google hat die Ergebnisse jedoch nicht als Schwachstelle eingestuft, sodass kein Patch veröffentlicht wurde – obwohl es eine Liste von Gegenmaßnahmen veröffentlicht hat, die Benutzer einsetzen können, wenn sie befürchten, dass ihre aktuelle Konfiguration Risiken birgt.
Folglich können Unternehmen nicht effektiv auf Vorfälle reagieren und haben keine Möglichkeit, genau festzustellen, welche Daten bei einem Angriff gestohlen wurden.
Normalerweise erlangt ein Angreifer die Kontrolle über eine Identity and Access Management (IAM)-Entität, erteilt ihr die erforderlichen Berechtigungen und verwendet sie zum Kopieren sensibler Daten. Da die GCP nicht die erforderliche Transparenz hinsichtlich der erteilten Berechtigungen bietet, wird es Unternehmen sehr schwer fallen, den Datenzugriff und potenziellen Datendiebstahl zu überwachen, folgerten die Forscher.
Google bietet seinen Kunden zwar die Möglichkeit, Speicherzugriffsprotokolle zu aktivieren, die Funktion ist jedoch standardmäßig deaktiviert. Durch die Aktivierung könnten Unternehmen Angriffe besser erkennen und darauf reagieren, aber die Nutzung der Funktion könnte zusätzliche Kosten verursachen. Selbst wenn es eingeschaltet ist, ist das System „unzureichend“ und schafft „forensische Sichtbarkeitslücken“, fügten die Forscher hinzu und sagten, dass das System „eine breite Palette potenzieller Dateizugriffs- und Leseaktivitäten unter einem einzigen Ereignistyp gruppiert“ Objekt abrufen.’“
Dies ist ein Problem, da das gleiche Ereignis zum Lesen einer Datei, zum Herunterladen oder auch nur zum Lesen der Metadaten der Datei verwendet wird.
Als Reaktion auf die Ergebnisse von Mitiga sagte Google, es schätze das Feedback von Mitiga, betrachte es jedoch nicht als Schwachstelle. Stattdessen gab das Unternehmen Empfehlungen zur Schadensbegrenzung heraus, die die Verwendung von VPC Service Controls, Organisationseinschränkungs-Headern sowie eingeschränkten Zugriff auf Speicherressourcen umfassen.