Cybersecurity-onderzoekers hebben een nu afgestemde kwetsbaarheid gedetailleerd in Google Cloud Platform (GCP) die een aanvaller in staat had kunnen stellen om zijn privileges in de cloudcomposer workflow orkestratieservice te verhogen die is gebaseerd op Apache Airflow.
“Met deze kwetsbaarheid kunnen aanvallers met bewerkingsmachtigingen in Cloud Composer hun toegang escaleren tot de standaard Cloud Build Service-account, die machtigingen op hoog niveau heeft in GCP-services zoals Cloud Build zelf, cloudopslag en artefactregistratie,” zei Liv Matan, senior beveiligingsonderzoeker bij Tenable, in een rapport met het hacker-nieuws.
De tekortkoming is door het Cybersecurity Company voor de codenaam van Cybersecurity, die het beschrijft als een variant van verwarde functie, een voorrechten escalatie -kwetsbaarheid die van invloed is op de cloudfunctieservice van GCP die een aanvaller zou kunnen exploiteren om toegang te krijgen tot andere diensten en gevoelige gegevens op een niet -geautoriseerde manier.
De openbaarmaking komt weken na het afnemen van een andere kwetsbaarheid van een andere privilege -escalatie in GCP Cloud Run Nagesbed Imagerunner die een kwaadwillende acteur toegang had kunnen hebben tot containerafbeeldingen en zelfs kwaadaardige code injecteert – het creëren van trapsgewijze effecten.
Net als Imagerunner is ConfusedComposer een ander voorbeeld van het Jenga -concept, waardoor beveiligingsproblemen worden geërfd van de ene service naar de andere wanneer cloudserviceproviders nieuwe services bovenop bestaande bouwen.
De exploit hangt af van de aanvaller die toestemming heeft om een cloudcomposeromgeving te bewerken (dwz composer.environiemen.Update), die kan worden benut om een Malicious Python Package Index (PYPI) -pakket te injecteren dat in staat is om privileges te escaleren via cloudbuild.
De aanval wordt mogelijk gemaakt vanwege het feit dat Cloud Composer gebruikers in staat stelt om aangepaste PYPI -pakketten in hun omgevingen te installeren, waardoor een tegenstander in staat is om willekeurige code uit te voeren binnen de bijbehorende cloud -build -instantie door installatiescripts in hun kwaadaardige pakket te gebruiken.
“ConfusedComposer is belangrijk omdat het blootlegt hoe achter de schermen interacties tussen cloudservices kunnen worden benut door escalatie van privileges,” legde Matan uit. “In dit geval heeft een aanvaller alleen toestemming nodig om een cloudcomposeromgeving bij te werken om toegang te krijgen tot kritieke GCP -services zoals cloudopslag en artefactregister.”
Succesvolle exploitatie van de fout kan een aanvaller toestaan om gevoelige gegevens te overleven, diensten te verstoren en kwaadaardige code te implementeren binnen CI/CD -pijpleidingen. Bovendien zou het de weg kunnen effenen voor de inzet van achterdeuren die aanhoudende toegang kunnen verlenen tot gecompromitteerde cloudomgevingen.
Na verantwoorde openbaarmaking door houten, heeft Google de kwetsbaarheid vanaf 13 april 2025 aangepakt door het gebruik van het Cloud Build Service -account te elimineren om PYPI -pakketten te installeren.
“In plaats daarvan zal het serviceaccount van de omgeving worden gebruikt,” zei Google in een aankondiging op 15 januari 2025. “Bestaande cloudcomposer 2 -omgevingen die eerder gebruikten dat het standaard cloudbuild -serviceaccount in plaats daarvan zal veranderen in het gebruik van het servicecount van de omgeving.”
“Cloud Composer 2 -omgevingen die zijn gemaakt in versies 2.10.2 en later al deze wijziging hebben. Cloud Composer 3 -omgevingen gebruiken al het serviceaccount van de omgeving en worden niet beïnvloed door deze wijziging.”
De openbaarmaking komt omdat Varonis Threat Labs een kwetsbaarheid in Microsoft Azure aan het licht brachten waardoor een dreigingsacteur met bevoorrechte toegang tot een Azure SQL Server de configuraties kan wijzigen op een manier die gegevensverlies bij beheerdersactie veroorzaakt. Microsoft heeft de kwestie vanaf 9 april 2025 volledig opgehaald nadat het op 5 augustus 2024 op de hoogte was gebracht.
De destructieve opgeslagen kwetsbaarheid van de URL-parameter-injectie, zei het bedrijf, komt voort uit een gebrek aan karakterbeperking voor serverfirewallregels die zijn gemaakt met TransACT-SQL (T-SQL).
“Door de naam van serverniveau-firewallregels te manipuleren via T-SQL, kan een bedreigingsacteur met bevoorrechte toegang tot een Azure SQL Server een implantaat injecteren dat, op basis van specifieke gebruikersacties, willekeurige azure-bronnen verwijdert waarvoor de gebruiker machtigingen heeft,” zei beveiligingsonderzoeker Coby Abrams.
“De impact van een dreigingsacteur die deze kwetsbaarheid benutten, kan grootschalig gegevensverlies zijn in het getroffen Azure-account.”
Het komt ook wanneer Datadog Security Labs licht werpen op een bug in Microsoft Entra ID beperkte administratieve eenheden die een aanvaller kunnen in staat stellen te voorkomen dat geselecteerde gebruikers worden gewijzigd, verwijderd of uitgeschakeld, zelfs door een wereldwijde beheerder.
“Een bevoorrechte aanvaller had deze bug kunnen gebruiken om een account onder zijn controle te beschermen, waardoor de insluiting door een Entra ID -beheerder wordt voorkomen,” zei beveiligingsonderzoeker Katie Knowles. Dit omvatte verschillende taken, zoals het resetten van wachtwoorden, het intrekken van gebruikerssessies, het verwijderen van gebruikers en het wissen van de multi-factor authenticatie (MFA) -methoden voor gebruikers.
De kwestie is sindsdien opgelost door de Windows Maker op 22 februari 2025, na verantwoordelijke openbaarmaking op 19 augustus 2024.
In de afgelopen weken zijn bedreigingsactoren gevonden die hun bezienswaardigheden trainen op websites gehost op Amazon Web Services (AWS) Elastic Compute Cloud (EC2) -instanties door de kwetsbaarheden van de server-side Request Fevery (SSRF) te benutten om metadata-informatie te extraheren.
“EC2-instantie-metagegevens is een functie van AWS die een EC2-instantie toestaat toegang te krijgen tot informatie die nodig is tijdens runtime zonder te hoeven authenticeren of externe API-oproepen te doen,” zei F5 Labs-onderzoeker Merlyn Albery-Speyer. “Het kan informatie blootleggen zoals het openbare of private IP -adres, instantie -ID en IAM -rolreferenties. Veel hiervan zijn gevoelige gegevens van interesse voor aanvallers.”
