La empresa de gestión de exposición ha revelado que su equipo de investigación ha descubierto una vulnerabilidad crítica de ejecución remota de código (RCE), denominada CloudImposer, que podría haber permitido a atacantes maliciosos ejecutar código en potencialmente millones de servidores de Google Cloud Platform (GCP) y los sistemas de sus clientes. Esta vulnerabilidad destaca una brecha de seguridad significativa, especificamente, en App Engine, Cloud Function, y Cloud Composer.
El descubrimiento surge de un análisis profundo de la documentación tanto de GCP como de la Python Software Foundation, revelando que estos servicios eran vulnerables a un ataque a la cadena de suministro conocido como confusión de dependencias. Aunque esta técnica de ataque ha sido conocida durante varios años, la investigación de Tenable Research muestra una alarmante falta de conciencia y medidas preventivas en su contra, incluso entre proveedores tecnológicos importantes como Google.
‘El radio de impacto de CloudImposer es inmenso. Al descubrir y revelar esta vulnerabilidad, hemos cerrado una puerta importante que los atacantes podrían haber explotado a gran escala’, dijo Liv Matan, ingeniero de investigación sénior en Tenable. ‘Compartir esta investigación aumenta la conciencia y profundiza el entendimiento de este tipo de vulnerabilidades, incrementando la probabilidad de que sean parcheadas o descubiertas antes; además, resalta conceptos más amplios que los usuarios de la nube deberían conocer para defenderse de riesgos similares y de la creciente superficie de ataque’, añadió.
La seguridad en la nube requiere un esfuerzo colaborativo entre proveedores y clientes. La empresa de ciberseguridad insta a los usuarios de la nube a analizar sus entornos y revisar sus procesos de instalación de paquetes, en particular el argumento –extra-index-url en Python, para mitigar los riesgos de confusión de dependencias. Tras la divulgación de Tenable, Google ha reconocido y solucionado el problema.
