Bug Pengambilalihan Mesin Virtual yang Belum Ditambal Mempengaruhi Google Compute Engine

  • Whatsapp
Mesin Hitung Google

Kerentanan keamanan yang belum ditambal yang memengaruhi platform Compute Engine Google dapat disalahgunakan oleh penyerang untuk mengambil alih mesin virtual melalui jaringan.

“Ini dilakukan dengan meniru server metadata dari sudut pandang mesin virtual yang ditargetkan,” kata peneliti keamanan Imre Rad dalam sebuah analisis diterbitkan Jumat. “Dengan memasang eksploitasi ini, penyerang dapat memberikan akses ke dirinya sendiri melalui SSH (otentikasi kunci publik) sehingga mereka dapat masuk sebagai pengguna root.”

Bacaan Lainnya

Mesin Hitung Google (GCE) adalah komponen infrastruktur sebagai layanan (IaaS) dari Google Cloud Platform yang memungkinkan pengguna membuat dan meluncurkan mesin virtual (VM) sesuai permintaan. GCE menyediakan metode untuk menyimpan dan mengambil metadata dalam bentuk server metadata, yang menawarkan titik pusat untuk menyetel metadata dalam bentuk pasangan nilai kunci yang kemudian diberikan ke mesin virtual saat runtime.

Tim Stack Overflow

Menurut peneliti, masalah ini adalah konsekuensi dari nomor pseudo-acak yang lemah yang digunakan oleh klien DHCP ISC, menghasilkan skenario di mana musuh membuat beberapa paket DHCP menggunakan satu set pengidentifikasi transaksi yang telah dihitung sebelumnya (alias XID) dan membanjiri klien DHCP korban, yang pada akhirnya mengarah pada peniruan identitas server metadata.

Protokol Konfigurasi Host Dinamis (DHCP) adalah protokol manajemen jaringan yang digunakan untuk mengotomatisasi proses konfigurasi perangkat di jaringan IP. Server DHCP secara dinamis memberikan alamat IP dan parameter konfigurasi jaringan lainnya ke setiap perangkat klien di jaringan sehingga mereka dapat berkomunikasi dengan jaringan lain.

Mesin Hitung Google

“Jika XID benar, mesin korban menerapkan konfigurasi jaringan,” jelas Rad dalam penulisan teknis. “Ini adalah kondisi balapan, tetapi karena banjirnya cepat dan menyeluruh, server metadata tidak memiliki peluang nyata untuk menang. Pada titik ini penyerang berada dalam posisi mengkonfigurasi ulang tumpukan jaringan korban.”

Mengingat bahwa server metadata dapat digunakan untuk mendistribusikan dan mengelola kunci SSH, klien — sekarang telah membuat koneksi TCP ke server jahat — dapat mengambil kunci publik SSH penyerang, yang kemudian dapat digunakan oleh penyerang untuk membuka shell jarak jauh sebagai pengguna root.

Dalam skenario dunia nyata yang potensial, rantai serangan yang disebutkan di atas dapat disalahgunakan oleh musuh untuk mendapatkan akses penuh ke mesin virtual yang ditargetkan saat sedang di-boot ulang atau melalui internet jika firewall platform cloud dimatikan.

Mencegah Serangan Ransomware

Google diberitahu tentang masalah ini pada 27 September 2020, yang sejak itu mengakui laporan tersebut, menggambarkannya sebagai “tangkapan yang bagus,” tetapi belum meluncurkan tambalan, atau memberikan garis waktu kapan koreksi akan tersedia. .

“Sampai perbaikan tiba, jangan gunakan DHCP atau atur aturan firewall tingkat host untuk memastikan komunikasi DHCP berasal dari server metadata (169.254.169.254),” kata Rad. “Blokir UDP/68 antar VM, sehingga hanya server metadata yang dapat menjalankan DHCP.”

Ini jauh dari pertama kalinya Rad mengidentifikasi masalah di Google Cloud Platform.

Pada bulan September 2020, Google memperbaiki a eskalasi hak istimewa lokal kerentanan dalam Alat Konfigurasi OS yang dapat dieksploitasi oleh aktor dengan hak eksekusi kode pada VM GCE yang terpengaruh untuk melakukan operasi yang tidak sah.

Kemudian awal Januari ini, Rad juga menemukan bahwa itu mungkin untuk mencapai eksekusi kode arbitrer di mesin virtual dengan mendapatkan shell di layanan database Cloud SQL. Masalah ini telah diatasi oleh Google pada 16 Februari 2021.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *