Falha de logs permite o roubo de dados do Google Cloud Platform

Da Redação
01/03/2023

Invasores podem exfiltrar os dados de empresas dos compartimentos de armazenamento do Google Cloud Platform (GCP) sem deixar rastros forenses da atividade maliciosa nos registros de acesso, segundo descoberta feita por pesquisadores da empresa de segurança cibernética Mitiga.

De acordo com os pesquisadores, o principal problema é que os logs básicos de armazenamento do GCP — que segundo eles não são habilitados por padrão — usam a mesma descrição/evento (objects.get) para diferentes tipos de acesso como, por exemplo, leitura de arquivo, download de arquivo, copia de um arquivo para um bucket/servidor externo e leitura dos metadados do arquivo/objeto.

“No uso normal, os arquivos dentro dos objetos de armazenamento são lidos várias vezes ao dia como parte da atividade diária de uma organização”, observa Veronica Marinov, responsável pela área de resposta a incidentes na nuvem da Mitiga. “Isso pode facilmente levar a milhares ou milhões de eventos de leitura. Não ser capaz de identificar padrões de ataque específicos, como download ou cópia para bucket externo, torna extremamente difícil para uma organização determinar se e quais informações foram roubadas.”

Ela também detalhou um exemplo de um possível ataque, que depende de o operador da ameaça obter controle sobre a conta de usuário do GCP de um funcionário pertencente à organização visada e, em seguida, conceder permissão a essa conta para copiar dados para a organização do GCP do agente da ameaça inserindo um comando simples em Linha de comando do Google.

Apesar do risco elevado, tanto a Mitiga quanto a equipe de segurança do Google não consideram o problema uma vulnerabilidade, mas uma “deficiência de segurança”. “Depois de entrar em contato com a equipe de segurança do Google e trabalhar com eles sobre esse problema, compilamos uma lista de etapas que podem ser executadas para mitigar e detectar esse ataque”, acrescentou Veronica.

Essas etapas incluem a definição, por meio do VPC Service Controls, de um perímetro de serviço em torno dos recursos dos serviços gerenciados pelo Google para controlar a comunicação entre esses serviços e o uso de cabeçalhos de restrição da organização para restringir as solicitações de recursos de nuvem feitas em seus ambientes.

Veja isso
VPN ‘zero logs’ expõe dados de milhões de clientes e de conexões
Hackers roubam logs de antivírus para saber se spyware foi detectado

“Nossos engenheiros de segurança revisaram atentamente este relatório de registro de auditoria insuficiente no Google Cloud Storage e podemos confirmar que não há risco de exfiltração. Isso não é uma vulnerabilidade”, disse um porta-voz do Google Cloud ao site Help Net Security.

A empresa recomenda que os clientes do Google Cloud usem o VPC Service Controls e configurem restrições organizacionais nos buckets do Google Cloud Storage para proteção contra exfiltração. “Com isso e os logs de auditoria de nuvem configurados adequadamente, os clientes podem ter certeza de que seus dados estão seguros. Embora melhorar a análise forense de log não tenha sido um problema levantado por nossos clientes, estamos continuamente avaliando maneiras de melhorar a percepção dos clientes sobre seu armazenamento. A lacuna forense destacada no blog é uma das áreas que estamos examinando”, disse o Google em um comunicado.

Compartilhar: