Bollettini sulla sicurezza

Questo bollettino riguarda potenziali lacune di sicurezza che potrebbero essere sfruttate se non affrontate nei criteri JavaCallout e PythonScript che sono stati scoperti e risolti. Questi criteri potrebbero comportare l'esecuzione di codice remoto non autorizzata (RCE) e l'escalation dei privilegi nell'ambiente di runtime di Apigee. Per poter essere sfruttati, questi possibili exploit richiedono l'accesso di utenti interni autorizzati (utenti che dispongono del privilegio di implementare i proxy). Queste potenziali vulnerabilità derivano da una sandboxing insufficiente per scenari come l'accesso tramite riflessione e lo spoofing degli oggetti di autorizzazione per aggirare il gestore della sicurezza.

Prodotti interessati

L'impatto è limitato ai criteri JavaCallout e PythonScript. Sono inclusi i deployment sulle seguenti piattaforme Apigee:

• Apigee
• Apigee Edge for Public Cloud
• Apigee hybrid
• Apigee Edge for Private Cloud

Che cosa devo fare?

Esegui le seguenti azioni per ogni prodotto interessato:

Apigee

Non è richiesta alcuna azione da parte dei clienti che utilizzano la versione di Apigee per Google Cloud. Le correzioni delle vulnerabilità sono state applicate alla release di Apigee 1-14-0-apigee-8.

Se il team di rilascio non è in grado di implementare il rilascio per le tue organizzazioni, un TAM o un rappresentante dell'assistenza ti contatterà per correggere eventuali bundle proxy JavaCallout interessati.

Apigee hybrid

Devi eseguire l'upgrade a una delle seguenti release delle patch di sicurezza:

Di recente è stata scoperta in OpenSSH una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli autori di attacchi di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, Apigee Edge per il cloud pubblico non è sfruttabile e sono state implementate misure di mitigazione.

Anche se questa CVE non è sfruttabile, Apigee eseguirà l'upgrade dei workload per risolvere la CVE riportata sopra.

Che cosa devo fare?

Non è richiesta alcuna azione da parte degli utenti di Apigee.

Le patch per i carichi di lavoro verranno applicate nei prossimi giorni e il bollettino sulla sicurezza verrà aggiornato al termine dell'operazione.

Di recente è stata scoperta in OpenSSH una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli aggressori di ottenere l'accesso come root ai nodi VM. I clienti di Edge Private Cloud possiedono e gestiscono le VM/gli host fisici in cui è implementato Edge Private Cloud.

Che cosa devo fare?

Controlla la versione di OpenSSH emettendo il comando ssh -V e valuta la versione di OpenSSH. Se utilizzi una delle versioni di OpenSSH interessate, esegui l'aggiornamento a una versione NON vulnerabile a questa CVE. OpenSSH ha rilasciato la versione 9.8p1 il 1° luglio 2024.

Di recente è stata scoperta in OpenSSH una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli aggressori di ottenere l'accesso come root ai nodi VM. I clienti di Edge Microgateway possiedono e gestiscono le VM/gli host fisici in cui viene disegnato Edge Microgateway.

Che cosa devo fare?

Controlla la versione di OpenSSH emettendo i comandi ssh -V e convalida la versione di OpenSSH. Se utilizzi una delle versioni di OpenSSH interessate, esegui l'aggiornamento a una versione NON vulnerabile a questa CVE. OpenSSH ha rilasciato la versione 9.8p1 il 1° luglio 2024.

Di recente è stata scoperta in OpenSSH una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli autori di attacchi di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, Apigee non è sfruttabile e sono state implementate misure di mitigazione.

Anche se questa CVE non è sfruttabile, Apigee eseguirà l'upgrade dei workload per risolvere la CVE-2024-6387.

Che cosa devo fare?

Non è richiesta alcuna azione da parte degli utenti di Apigee. L'applicazione delle patch per i carichi di lavoro verrà eseguita nei prossimi giorni e il bollettino sulla sicurezza verrà aggiornato al termine dell'operazione.

Nota: se i gruppi di istanze gestite vengono di cui vengono eseguiti il deployment in un progetto del cliente per il bilanciamento del carico in entrata, in particolare InternalRouting (VPC) e ExternalRouting (MIG), verifica la versione di OpenSSH installata. Se la versione è vulnerabile alla CVE, aggiorna autonomamente a OpenSSH versione 9.8p1 rilasciata il 1° luglio 2024, poiché Apigee non gestisce questi MIG.

Di recente è stata scoperta in OpenSSH una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli attaccanti di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, le immagini ibride non sono vulnerabili perché OpenSSH non è pacchettizzato in nessuna delle immagini container ibride. Tuttavia, se il sistema operativo dell'host/del nodo GKE è in esecuzione con le versioni vulnerabili di OpenSSH riportate di seguito, i cluster ibride saranno sfruttabili.

Che cosa devo fare?

Questo problema è stato risolto nel bollettino sulla sicurezza dell'assistenza clienti Google Cloud GCP-2024-040.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

• Bollettino sulla sicurezza di GKE
• Bollettino sulla sicurezza di GKE su VMware
• Bollettino sulla sicurezza di GKE su AWS
• Bollettino sulla sicurezza di GKE su Azure
• Bollettino sulla sicurezza di GKE on Bare Metal
• AWS: non sono ancora disponibili aggiornamenti (alle 14:22 PST del 1° luglio 2024). Consulta la pagina del bollettino relativa a CVE-2024-6387
• Azure: non sono ancora disponibili aggiornamenti (alle 14:22 PST del 1° luglio 2024). Consulta la pagina del bollettino relativa a CVE-2024-6387
• OpenShift: server di OpenSSH (sshd) [CVE-2024-6387] | Red Hat Customer Portal

Quando un proxy di gestione API Apigee si connette a un endpoint di destinazione o server di destinazione, per impostazione predefinita il proxy non esegue la convalida del nome host per il certificato presentato dall'endpoint o dal server di destinazione. Se la convalida del nome host non è attivata utilizzando una delle seguenti opzioni, i proxy Apigee che si connettono a un endpoint o a un server di destinazione potrebbero essere a rischio di un attacco man-in-the-middle da parte di un utente autorizzato. Per ulteriori informazioni, consulta Configurare TLS dall'Edge al backend (Cloud e Private Cloud).

Prodotti interessati

Sono interessati i deployment dei proxy Apigee sulle seguenti piattaforme Apigee:

• Apigee Edge for Public Cloud
• Apigee Edge for Private Cloud

Che cosa devo fare?

Per attivare questa convalida, i clienti possono utilizzare una delle seguenti opzioni:

Opzione 1: aggiungi una configurazione al proxy

Puoi attivare la convalida dell'endpoint o del server di destinazione aggiungendo una configurazione <CommonName> alla sezione SSLInfo dell'elemento <HTTPTargetConnection> nella configurazione del proxy, come mostrato di seguito:

<HTTPTargetConnection>
  <SSLInfo>
    <Enabled>true</Enabled>
    <TrustStore>ref://mytruststoreref</TrustStore>
    <CommonName>*.example.com</CommonName>
  </SSLInfo>
  <URL>https://my.example.com/</URL>
</HTTPTargetConnection>

Se questa configurazione è presente nell'elemento <HTTPTargetConnection> della configurazione del proxy, Apigee utilizzerà il valore specificato in <CommonName> per la convalida del nome host. In questo campo è possibile utilizzare i caratteri jolly.

Apigee consiglia questo approccio. Puoi testare i proxy singolarmente per verificare che la convalida funzioni come previsto, con una potenziale interruzione minima del traffico. Per ulteriori informazioni su come testare la convalida del nome host nei proxy e visualizzare gli errori, consulta Utilizzare lo strumento di tracciabilità.

Opzione 2: imposta un flag a livello di organizzazione

Puoi impostare un flag a livello di organizzazione Apigee per attivare la convalida del nome host per tutti i proxy e i target di destinazione di cui è stato eseguito il deployment nella tua organizzazione. Se il flag features.strictSSLEnforcement è impostato su true nelle proprietà dell'organizzazione, la convalida del nome host verrà applicata ogni volta che il proxy si connette a un endpoint o a un server di destinazione.

Nota: anche se questa opzione può aiutarti ad attivare la funzionalità nell'intera organizzazione, possono verificarsi errori di convalida dei nomi host se i target non presentano i certificati previsti.

• Per i deployment di Apigee Edge for Public Cloud:

  Contatta l'assistenzaGoogle Cloud per impostare il flag features.strictSSLEnforcement su true nelle proprietà dell'organizzazione.

  Nota: l'attivazione di questo flag comporterà l'applicazione del controllo SSL per tutti gli ambienti di un'organizzazione e per tutti i proxy di cui è stato eseguito il deployment in questi ambienti.

• Per i deployment di Apigee Edge for Private Cloud :

  Il flag features.strictSSLEnforcement può essere impostato su true dall'amministratore dell'organizzazione o del sistema. Per ulteriori informazioni sull'impostazione del flag, consulta Aggiornare le proprietà dell'organizzazione.

  Nota: quando aggiorni i flag a livello di organizzazione utilizzando l'API Organizations, assicurati di includere tutti i flag esistenti nella richiesta POST per evitare di sovrascrivere le impostazioni di configurazione precedenti.

  Una volta impostato il flag, ogni elaboratore dei messaggi deve essere riavviato singolarmente affinché la modifica venga applicata. Utilizza il seguente comando:

  apigee-service edge-message-processor restart

  Per rollback questa modifica, utilizza la stessa API Organizations per impostare il flag su false e riavvia ogni elaboratore di messaggi.

  Nota: l'attivazione di questo flag comporterà l'applicazione del controllo SSL per tutti gli ambienti di un'organizzazione e per tutti i proxy di cui è stato eseguito il deployment in questi ambienti. Tuttavia, se <IgnoreValidationErrors> è impostato su true, eventuali errori di convalida rilevati verranno ignorati.

Apigee consiglia di implementare questa modifica prima negli ambienti non di produzione, per assicurarsi che la convalida funzioni come previsto e non causi interruzioni della produzione. Se la convalida del nome host non va a buon fine per uno o più target, viene restituito il seguente messaggio di errore:

{"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}

Aggiornamento del 03/11/2023: è stato aggiunto un problema noto per Apigee Edge for Private Cloud.

Di recente è stata scoperta una vulnerabilità di tipo denial of service (DoS) in più implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il servizio Apigee Ingress (Cloud Service Mesh) utilizzato da Apigee X e Apigee hybrid. La vulnerabilità potrebbe causare un attacco DoS della funzionalità di gestione delle API di Apigee.

Prodotti interessati

• Apigee X

  Sono interessati i deployment di Apigee X accessibili tramite un Google Cloud bilanciatore del carico di rete (livello 4) o un bilanciatore del carico di livello 4 personalizzato. È stato applicato un hotfix a tutte le istanze Apigee X.

• Apigee hybrid

  Sono interessate le istanze Apigee hybrid che consentono alle richieste HTTP/2 di raggiungere Apigee Ingress. I clienti devono verificare se i bilanciatori del carico che si trovano davanti ai loro ingressi ibride Apigee consentono alle richieste HTTP/2 di raggiungere il servizio Apigee Ingress.

• Apigee Edge for Private Cloud

  I componenti del router e del server di gestione di Edge per il cloud privato sono esposti a internet e possono essere potenzialmente vulnerabili. Sebbene HTTP/2 sia abilitato sulla porta di gestione di altri componenti specifici di Edge di Edge for Private Cloud, nessuno di questi componenti è esposto a internet. Nei componenti non Edge, come Cassandra, Zookeeper e altri, HTTP/2 non è abilitato. Ti consigliamo di seguire i passaggi descritti in Problemi noti relativi a Edge per Private Cloud per risolvere la vulnerabilità di Edge per Private Cloud.

Prodotti non interessati

• Apigee X

  Le istanze Apigee X a cui si accede solo tramite Google Cloud bilanciatori del carico delle applicazioni (livello 7) non sono interessate. Sono inclusi i deployment in cui è attivato HTTP/2 per i proxy gRPC.

• Google Cloud API Gateway

  Google Cloud API Gateway non è interessato.

• Apigee Edge Cloud

  Apigee Edge Cloud non è interessato da questa vulnerabilità.

Che cosa devo fare?

• Apigee X

  Aggiornamento del 3 novembre 2023: la vulnerabilità è stata risolta tramite l'aggiornamento delle istanze Apigee X rilasciato il 13 ottobre 2023. Per informazioni dettagliate, consulta le note di rilascio.

• Apigee hybrid

  I clienti di Apigee hybrid dovranno eseguire l'upgrade a una delle seguenti versioni con patch:

  • v1.10.3-hotfix.2 rilasciata venerdì 13 ottobre 2023
  • v1.9.4-hotfix.1 rilasciata venerdì 13 ottobre 2023

• Apigee Edge for Private Cloud

  Gli utenti di Apigee Edge for Private Cloud possono seguire le istruzioni pubblicate in Problemi noti con Edge for Private Cloud per la disattivazione esplicita di HTTP/2 per i componenti esposti.

Quali vulnerabilità vengono affrontate da queste patch?

La vulnerabilità CVE-2023-44487 potrebbe causare un attacco DoS della funzionalità di gestione dell'API Apigee.