Eine Fehlkonfiguration der Google Cloud Platform-API kann zu ausnutzbarem Verhalten führen, das zu einer Dienstverletzung führt. Es ist von entscheidender Bedeutung, die Integrität der Speicherung von Anmeldeinformationen sicherzustellen und eine strenge Richtlinie zur Verwaltung von Google Cloud-Konten durchzusetzen.
Seltsames und potenziell gefährliches Verhalten innerhalb der Google Cloud Platform (GCP) wurde vom Cloud-Sicherheitsunternehmen Mitiga aufgedeckt. Wenn GCP nicht richtig konfiguriert ist, könnte es laut einem Blog auf der Website des israelischen Unternehmens von Angreifern ausgenutzt werden, um böswillige Aktivitäten in der Cloud-Umgebung des Benutzers durchzuführen.
Das Verhalten hängt mit einer der von Google Cloud verwendeten APIs zusammen. Eine Anwendungsprogrammierschnittstelle (API) ermöglicht es Benutzern, Daten von seriellen Ports abzurufen. Nur hier können durch das Erstellen einer virtuellen Maschine in der Cloud auch kontinuierlich Daten auf die Ports geschrieben werden. Außerdem haben Administratoren aufgrund der Rangfolge dieses Datenverkehrs durch Google Cloud nicht viel Einblick. Wenn ein Angreifer dieses Verhalten ausnutzt, können seine anhaltenden Aufrufe von Ports ihm einen Hinweis geben, sagt Maitika, aber Entwickler, die mit den Details des Angriffs nicht vertraut sind, könnten möglicherweise die APIs der böswilligen Aktivität übersehen.
Angreifer können Befehls- und Kontrollfähigkeiten erlangen
Ein weiteres Problem mit Google Cloud, das von Mitiga festgestellt wurde, ist die Art und Weise, wie Benutzer Metadaten zur Laufzeit bearbeiten können. Andere Cloud-Anbieter geben Benutzern diese Macht auch, aber nur, wenn eine virtuelle Maschine ausgeschaltet ist. Mit virtuellen Maschinen von Google können Benutzer benutzerdefinierte Metadaten-Tags mit benutzerdefinierten Werten definieren und diese Werte standardmäßig vom Metadatenserver lesen. Neben der Lesefunktion für serielle Ports wird laut Maitika eine vollständige Rückkopplungsschleife geschaffen, die Angreifern Befehls- und Kontrollfunktionen geben kann.
Das Unternehmen erklärte auch, wie die Malware die API verwenden könnte, um vollen administrativen Zugriff auf das System zu erhalten. Mit einem Befehl zum Konfigurieren einer virtuellen Maschine zur Verwendung von Benutzerdaten beim Start der virtuellen Maschine kann ein Angreifer ein Skript schreiben, um es zur Laufzeit zu laden und die Kontrolle über das System zu übernehmen.
5 Angriffsszenarien wurden betrachtet
Maitiga stellte fünf Angriffsszenarien vor, die sich aus seinen Erkenntnissen ergeben. Anfänglich könnte ein Angreifer mit den entsprechenden API-Berechtigungen von setMetadata und getSerialPortOutput auf einer oder mehreren virtuellen Maschinen auf Google Cloud-Anmeldedaten zugreifen. Im zweiten Szenario könnte ein Angreifer mithilfe herkömmlicher netzwerkbasierter Lateral Movement-Methoden Malware auf dem System installieren, das über die Cloud-API kommuniziert.
Die dritte Möglichkeit besteht darin, dass der Angreifer Befehle an den Opfercomputer senden kann, indem er sie mit einem vordefinierten Schlüssel in die benutzerdefinierten Metadaten einträgt. Das vierte Szenario ist: Das Opfersystem kann den Schlüssel für Befehle ständig lesen und wenn es einen Befehl findet, wird der Befehl ausgeführt und die Ausgabe an einen vordefinierten seriellen Port gesendet. Das letzte Szenario schließlich ist folgendes: Der Gegner liest ständig die serielle Schnittstelle und wartet darauf, die Ausgabe des Befehls zu erhalten.
Geheimer Weg, um den Zugriff auf kompromittierte Systeme aufrechtzuerhalten
Andrew Johnston, der leitende Berater von Maitika, der den Blog geschrieben hat, spielte die Bedrohung herunter, die riskantes API-Verhalten für Unternehmen darstellt. „Solange Sie alle anderen Sicherheitsrichtlinien befolgen – Anmeldeinformationen korrekt gespeichert werden, Konten nur die erforderlichen Berechtigungen haben – besteht hier keine wirkliche Bedrohung“, sagt er. Das Problem ist, dass diese Dinge leichter gesagt als getan sind. Wenn ein Angreifer mit den entsprechenden Berechtigungen Zugriff auf ein Google Cloud-Konto erhält, kann er diesen Angriffsvektor verwenden, um sich Zugriff auf Systeme zu verschaffen.“ Andrew Johnston fügt hinzu: „Der Effekt dieses Modus ist, dass es sich um eine verdeckte Methode handelt, um den Zugriff auf ein kompromittiertes System.“ In einer Standard-SOC-Umgebung läuten die Alarmglocken.“
Obwohl Mitiga nicht feststellte, dass das Verhalten der ABI in freier Wildbahn ausgenutzt wurde, machte der Berater deutlich, dass es wichtig sei, die Informationen an die Google Cloud-Community weiterzugeben. „Hochrangige Angreifer kennen eine Reihe von Angriffsvektoren, die der allgemeinen Öffentlichkeit nicht zugänglich sind“, sagt er. „Der beste Weg, solche Gruppen zu entwaffnen, besteht darin, diese Technologien zu identifizieren und einzusetzen, denn wenn Organisationen bei Bewusstsein sind, können sie ihre Vorbereitung auf Missbrauch verbessern.“