Ngày 06 tháng 3 năm 2023Ravie LakshmananĐiện toán đám mây / An toàn dữ liệu
Một nghiên cứu mới đã phát hiện ra rằng các tác nhân độc hại có thể lợi dụng khả năng hiển thị pháp lý “không đầy đủ” trong Google Cloud Platform (GCP) để lấy cắp dữ liệu nhạy cảm.
“Thật không may, GCP không cung cấp mức độ hiển thị trong nhật ký lưu trữ cần thiết để cho phép bất kỳ cuộc điều tra pháp y hiệu quả nào, khiến các tổ chức mù quáng trước các cuộc tấn công đánh cắp dữ liệu tiềm ẩn”, công ty ứng phó sự cố đám mây Mitiga cho biết trong một báo cáo.
Các cuộc tấn công dựa trên điều kiện tiên quyết là kẻ thù có thể giành quyền kiểm soát thực thể quản lý danh tính và quyền truy cập (IAM) trong tổ chức được nhắm mục tiêu bằng các phương pháp như kỹ thuật xã hội để truy cập vào môi trường GCP.
Mấu chốt của vấn đề là nhật ký truy cập bộ nhớ của GCP không cung cấp đầy đủ tính minh bạch liên quan đến các sự kiện đọc và truy cập tệp tiềm năng, thay vào đó nhóm tất cả chúng thành một hoạt động “Lấy đối tượng” duy nhất.
“Cùng một sự kiện được sử dụng cho nhiều loại truy cập, bao gồm: Đọc tệp, tải xuống tệp, sao chép tệp vào máy chủ bên ngoài, [and] đọc siêu dữ liệu của tệp,” Veronica Marinov, nhà nghiên cứu của Mitiga cho biết.
Sự thiếu phân biệt này có thể cho phép kẻ tấn công thu thập dữ liệu nhạy cảm mà không bị phát hiện, chủ yếu là do không có cách nào để phân biệt giữa hoạt động độc hại và hợp pháp của người dùng.
Trong một cuộc tấn công giả định, kẻ đe dọa có thể sử dụng giao diện dòng lệnh của Google (gsutil) để chuyển dữ liệu có giá trị từ bộ chứa lưu trữ của tổ chức nạn nhân sang bộ chứa lưu trữ bên ngoài trong tổ chức kẻ tấn công.
Kể từ đó, Google đã cung cấp các đề xuất giảm thiểu, bao gồm từ Kiểm soát dịch vụ Đám mây riêng ảo (VPC) đến việc sử dụng các tiêu đề hạn chế của tổ chức để hạn chế các yêu cầu tài nguyên đám mây.
Tiết lộ được đưa ra khi Sysdig phát hiện ra một chiến dịch tấn công tinh vi có tên là SCARLETEEL nhắm mục tiêu vào các môi trường được chứa để thực hiện hành vi trộm cắp dữ liệu và phần mềm độc quyền.
