Aggiornamenti recenti Novembre 20th, 2024 10:12 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
- Le falle di sicurezza nei toolkit ML più diffusi
- L’API di Microsoft Power Pages può esporre dati sensibili
Google Cloud è esposto ad abusi “transitivi” di accesso: la ricerca di Vectra AI
Negli ultimi tempi gli abusi “transitivi” di accesso, cioè quelli ottenuti indirettamente tramite un intermediario di fiducia, si stanno diffondendo, allarmando li esperti di cybersecurity.
Del problema si è occupato anche Kat Traxler, Principal Security Researcher di Vectra AI, il quale ha pubblicato una ricerca su questo tipo di abusi all’interno di Google Cloud, spiegando che il servizio Document AI consente agli utenti di leggere qualsiasi oggetto Cloud Storage nello stesso progetto.
Pixabay
Il servizio si occupa di estrarre informazioni da documenti non strutturati. L’agente che si occupa di raccogliere i dati e di fornire i risultati in output possiede dei permessi molto estesi che gli consentono di accedere a qualsiasi bucket Cloud Storage dello stesso progetto. Anche se l’utente che esegue il servizio Document AI ha dei permessi limitati, l’agente che materialmente esegue il processo non rispetta questi limiti e consente attacchi di data exfiltration.
“Sfruttare il servizio (e la sua identità) per esfiltrare i dati costituisce un abuso transitivo di accesso che aggira i controlli di accesso previsti e compromette la riservatezza dei dati” spiega Traxler.
Per sfruttare l’exploit, un attaccante deve sfruttare un processo di Document AI già esistente sul dispositivo o ottenere i permessi di creazione per aggiungerne uno che gli permetta di leggere dai bucket. Se invece Document AI non è mai stato usato in qualche progetto, l’attaccante deve prima abilitare il servizio; una volta abilitato Document AI, si ottiene in automatico il ruolo “project-level” che consente di procedere con l’attacco.
Abusi transitivi di accesso: la risposta di Google
Il team di Vectra AI ha notificato il problema a Google il 4 aprile tramite il Vulnerability Report Program e, dopo mesi di analisi, la compagnia ha confermato l’esistenza della vulnerabilità, classificandola di categoria S2C, ovvero “bypass di controlli di sicurezza centrali”.
Inizialmente Google aveva comunicato a Traxler che la vulnerabilità non poteva essere considerata parte del Vulnerability Reward Program: “a una prima analisi, il problema non sembra abbastanza grave da qualificarsi per un premio” aveva scritto la compagnia al ricercatore. In seguito, Google è tornata sui suoi passi e ha deciso di considerare il bug valido per il programma di ricompensa.
“Google ha fatto retromarcia sulla sua decisione di non fornire una ricompensa, citando ‘documentazione insufficiente o incorretta’ come causa. La proposta di bug è stata ora classificata come ‘bypass di controlli di sicurezza centrali’ ed è stata definita una ricompensa. Non c’è indicazione del quando o del come il problema verrà risolto” ha spiegato Traxler.
La vulnerabilità colpisce tutti i clienti Google Cloud, anche se non utilizzano Document AI. Al momento Google non ha rilasciato dei fix per risolvere il problema, ma gli utenti possono mitigare i rischi usando il servizio in progetti isolati e segmentati e circsoscrivendo l’uso di Document AI e delle sue API, abilitandole solo quando è necessario.
Condividi l'articolo
- abusi transitivi di accesso, bypass controlli di sicurezza, cloud storage, Document AI, esfiltrazione dati, Google Cloud, Vectra AI
Il costo di un cyberattacco va oltre le perdite finanziarie dirette
Port of Seattle conferma l'attacco da parte del ransomware Rhysida
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione... -
Phishing, breach e trojan bancari: Acronis condivide il... L’attuale panorama delle minacce si presente sempre...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato... -
Le falle di sicurezza nei toolkit ML più diffusi La sicurezza dei toolkit ML continua a essere minacciata... -
L’API di Microsoft Power Pages può esporre dati... Aaron Costello, Chief of SaaS Security Research di AppOmni,...
Ransomware: la serie
No posts found.
