Die Sicherheitsexperten SADA gaben an, eine schwerwiegende Schwachstelle in der Google Cloud Platform gefunden zu haben, die inzwischen vom Technologieriesen gepatcht wurde.
Die als Asset Key Theft bekannte Schwachstelle hätte Angreifern möglicherweise ermöglicht, die privaten Schlüssel von Google Cloud-Dienstkonten zu stehlen. In einem Stellungnahme (öffnet in neuem Tab)sagte SADA, es glaube, dass der Fehler „Angreifern eine dauerhafte und zuverlässige Methode zum Missbrauch einer Google Cloud-Umgebung gegeben hätte“.
SADA informierte Google über das Problem in seinem Cloud-Hosting-Geschäft über seine Käferjäger (öffnet in neuem Tab) Bounty-Programm, bei dem Forscher den Technologieriesen auf sichere Weise auf Fehler aufmerksam machen können, die sie in seinen Produkten finden.
API-Fehler
SADA war der Ansicht, dass das Problem kritisch sei, „aufgrund der Gemeinsamkeit der Berechtigung mit Cloud-Sicherheitstools von Drittanbietern, wie z. B. Cloud Security Posture Management (CSPM)-Tools, um Cloud-Bestandsdaten von der API zu sammeln“.
Der Fehler wurde in der Google Cloud Platform API gefunden, die als Cloud Asset Inventory API bekannt ist. Sie betraf alle Google Cloud-Benutzer, die diese API aktiviert hatten und über cloudasset.assets.searchAllResources-Berechtigungen in der entsprechenden Google Cloud-Umgebung verfügten, die dieser Schwachstelle ausgesetzt waren.
Nachdem SADA dies Google gemeldet hatte, reproduzierte es den Fehler selbst, um seine Existenz zu bestätigen, bevor es die Schwachstelle patchte. SADA warnt jedoch davor, dass Kunden möglicherweise immer noch davon betroffen sind und die Bedrohung möglicherweise nach dem Patch fortbesteht.
„Die Unterstützung unserer Kunden bei der Transformation ihrer Organisationen in die Cloud bedeutet ständige Wachsamkeit in Bezug auf die Sicherheit“, sagt Miles Ward, CTO von SADA. „Keine öffentliche Cloud ist immun gegen Schwachstellen, und wir alle müssen schnell handeln, offen zusammenarbeiten und transparent kommunizieren, wenn wir eine Schwachstelle entdecken.“
„Wir loben Google Cloud dafür, wie schnell und gründlich sie reagiert haben, als wir sie auf diesen Fehler aufmerksam gemacht haben. Wir sind stolz auf die Arbeit, die die Ingenieure von SADA geleistet haben, um sicherzustellen, dass die Daten unserer Kunden sicher bleiben.“