Aggiornamenti recenti Aprile 1st, 2025 2:38 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti dello smishing a tema INPS
- SharePoint inondato dallo spam: la colpa è di un dominio Stream compromesso
- RedCurl passa al ransomware: scoperto il primo attacco con QWCrypt
Google Cloud è esposto ad abusi “transitivi” di accesso: la ricerca di Vectra AI
Negli ultimi tempi gli abusi “transitivi” di accesso, cioè quelli ottenuti indirettamente tramite un intermediario di fiducia, si stanno diffondendo, allarmando li esperti di cybersecurity.
Del problema si è occupato anche Kat Traxler, Principal Security Researcher di Vectra AI, il quale ha pubblicato una ricerca su questo tipo di abusi all’interno di Google Cloud, spiegando che il servizio Document AI consente agli utenti di leggere qualsiasi oggetto Cloud Storage nello stesso progetto.
Pixabay
Il servizio si occupa di estrarre informazioni da documenti non strutturati. L’agente che si occupa di raccogliere i dati e di fornire i risultati in output possiede dei permessi molto estesi che gli consentono di accedere a qualsiasi bucket Cloud Storage dello stesso progetto. Anche se l’utente che esegue il servizio Document AI ha dei permessi limitati, l’agente che materialmente esegue il processo non rispetta questi limiti e consente attacchi di data exfiltration.
“Sfruttare il servizio (e la sua identità) per esfiltrare i dati costituisce un abuso transitivo di accesso che aggira i controlli di accesso previsti e compromette la riservatezza dei dati” spiega Traxler.
Per sfruttare l’exploit, un attaccante deve sfruttare un processo di Document AI già esistente sul dispositivo o ottenere i permessi di creazione per aggiungerne uno che gli permetta di leggere dai bucket. Se invece Document AI non è mai stato usato in qualche progetto, l’attaccante deve prima abilitare il servizio; una volta abilitato Document AI, si ottiene in automatico il ruolo “project-level” che consente di procedere con l’attacco.
Abusi transitivi di accesso: la risposta di Google
Il team di Vectra AI ha notificato il problema a Google il 4 aprile tramite il Vulnerability Report Program e, dopo mesi di analisi, la compagnia ha confermato l’esistenza della vulnerabilità, classificandola di categoria S2C, ovvero “bypass di controlli di sicurezza centrali”.
Inizialmente Google aveva comunicato a Traxler che la vulnerabilità non poteva essere considerata parte del Vulnerability Reward Program: “a una prima analisi, il problema non sembra abbastanza grave da qualificarsi per un premio” aveva scritto la compagnia al ricercatore. In seguito, Google è tornata sui suoi passi e ha deciso di considerare il bug valido per il programma di ricompensa.
“Google ha fatto retromarcia sulla sua decisione di non fornire una ricompensa, citando ‘documentazione insufficiente o incorretta’ come causa. La proposta di bug è stata ora classificata come ‘bypass di controlli di sicurezza centrali’ ed è stata definita una ricompensa. Non c’è indicazione del quando o del come il problema verrà risolto” ha spiegato Traxler.
La vulnerabilità colpisce tutti i clienti Google Cloud, anche se non utilizzano Document AI. Al momento Google non ha rilasciato dei fix per risolvere il problema, ma gli utenti possono mitigare i rischi usando il servizio in progetti isolati e segmentati e circsoscrivendo l’uso di Document AI e delle sue API, abilitandole solo quando è necessario.
Condividi l'articolo
- abusi transitivi di accesso, bypass controlli di sicurezza, cloud storage, Document AI, esfiltrazione dati, Google Cloud, Vectra AI
Il costo di un cyberattacco va oltre le perdite finanziarie dirette
Port of Seattle conferma l'attacco da parte del ransomware Rhysida
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è... -
Kaspersky avverte: email aziendali usate per account... Kaspersky lancia un segnale d’allarme: registrare account...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and...
-
Una campagna di phishing usa il DNS-over-HTTPS per eludere... I ricercatori di Infoblox hanno scoperto una nuova campagna... -
CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato... -
SharePoint inondato dallo spam: la colpa è di un dominio... Un vecchio dominio di Microsoft Stream è stato compromesso... -
RedCurl passa al ransomware: scoperto il primo attacco con... RedCurl, gruppo hacker russo attivo almeno dal 2018 e...
Ransomware: la serie
No posts found.
