Исследователи из Tenable
Уязвимость возникла в процессе установки определенных программных пакетов в инфраструктуре Google, которые злоумышленники могли использовать для запуска вредоносного кода как на серверах Google, так и на серверах ее клиентов. Обнаруженная Tenable в начале августа, уязвимость подвергала такие службы GCP, как App Engine, Cloud Functions и Cloud Composer, риску крупномасштабных атак на цепочки поставок.
Google рекомендовал использовать команду Python под названием , –extra-index-url, которая непреднамеренно делает системы уязвимыми для атак с путаницей зависимостей. Они происходят, когда злоумышленники загружают вредоносные пакеты в публичный реестр, обманывая системы, заставляя их загружать и устанавливать скомпрометированное программное обеспечение вместо предполагаемого, сказал Tenable.
Злоумышленник, эксплуатирующий CloudImposer, теоретически может запустить код на миллионах серверов GCP, просто загрузив пакет в публичный репозиторий PyPI. В ответ Google обновил свой процесс установки пакетов, чтобы предотвратить такие атаки.
После эксплуатации киберпреступники могут использовать методы GKE для дальнейшего проникновения в системы GCP Composer. Исследователи призвали разработчиков пересмотреть процессы установки пакетов и убедиться, что у них есть соответствующие меры безопасности для предотвращения атак, связанных с путаницей зависимостей.
Ссылка скрыта от гостей
, что компания Google устранила критическую уязвимость в своей облачной платформе Cloud Composer под названием «CloudImposer», которая могла позволить злоумышленникам скомпрометировать данные с серверов.Уязвимость возникла в процессе установки определенных программных пакетов в инфраструктуре Google, которые злоумышленники могли использовать для запуска вредоносного кода как на серверах Google, так и на серверах ее клиентов. Обнаруженная Tenable в начале августа, уязвимость подвергала такие службы GCP, как App Engine, Cloud Functions и Cloud Composer, риску крупномасштабных атак на цепочки поставок.
Google рекомендовал использовать команду Python под названием , –extra-index-url, которая непреднамеренно делает системы уязвимыми для атак с путаницей зависимостей. Они происходят, когда злоумышленники загружают вредоносные пакеты в публичный реестр, обманывая системы, заставляя их загружать и устанавливать скомпрометированное программное обеспечение вместо предполагаемого, сказал Tenable.
Злоумышленник, эксплуатирующий CloudImposer, теоретически может запустить код на миллионах серверов GCP, просто загрузив пакет в публичный репозиторий PyPI. В ответ Google обновил свой процесс установки пакетов, чтобы предотвратить такие атаки.
После эксплуатации киберпреступники могут использовать методы GKE для дальнейшего проникновения в системы GCP Composer. Исследователи призвали разработчиков пересмотреть процессы установки пакетов и убедиться, что у них есть соответствующие меры безопасности для предотвращения атак, связанных с путаницей зависимостей.