Ngày 26 tháng 5 năm 2023Ravie LakshmananAn toàn dữ liệu / Bảo mật đám mây
Một lỗ hổng bảo mật mới đã được tiết lộ trong dịch vụ Cloud SQL của Google Cloud Platform (GCP) có khả năng bị khai thác để có quyền truy cập vào dữ liệu bí mật.
“Lỗ hổng bảo mật có thể đã cho phép tác nhân độc hại leo thang từ người dùng Cloud SQL cơ bản thành quản trị viên hệ thống chính thức trên bộ chứa, giành quyền truy cập vào dữ liệu GCP nội bộ như bí mật, tệp nhạy cảm, mật khẩu, ngoài dữ liệu khách hàng”, đám mây của Israel hãng bảo mật Dig cho biết.
Cloud SQL là một giải pháp được quản lý hoàn toàn để xây dựng cơ sở dữ liệu MySQL, PostgreSQL và SQL Server cho các ứng dụng dựa trên đám mây.
Tóm lại, chuỗi tấn công nhiều giai đoạn được Dig xác định đã tận dụng lỗ hổng trong lớp bảo mật của nền tảng đám mây được liên kết với SQL Server để nâng cấp đặc quyền của người dùng lên vai trò quản trị viên.
Sau đó, các quyền được nâng cao khiến có thể lạm dụng một cấu hình sai nghiêm trọng khác để có được quyền quản trị viên hệ thống và kiểm soát hoàn toàn máy chủ cơ sở dữ liệu.
Từ đó, kẻ đe dọa có thể truy cập tất cả các tệp được lưu trữ trên hệ điều hành cơ bản, liệt kê các tệp và trích xuất mật khẩu, sau đó có thể hoạt động như một bệ phóng cho các cuộc tấn công tiếp theo.
Các nhà nghiên cứu của Dig là Ofir Balassiano và Ofir Shaty cho biết: “Việc giành được quyền truy cập vào dữ liệu nội bộ như bí mật, URL và mật khẩu có thể dẫn đến việc lộ dữ liệu của nhà cung cấp đám mây và dữ liệu nhạy cảm của khách hàng, đây là một sự cố bảo mật lớn.
Sau khi tiết lộ có trách nhiệm vào tháng 2 năm 2023, Google đã giải quyết vấn đề này vào tháng 4 năm 2023.
Tiết lộ được đưa ra khi Google công bố tính khả dụng của API Môi trường quản lý chứng chỉ tự động (ACME) cho tất cả người dùng Google Cloud để tự động lấy và gia hạn chứng chỉ TLS miễn phí.
