Kunden können Google SecOps so konfigurieren, dass Daten aus kundeneigenen Cloud Storage-Buckets über einen Aufnahmefeed aufgenommen werden. Bis vor Kurzem stellte Google SecOps ein freigegebenes Dienstkonto zur Verfügung, mit dem Kunden Berechtigungen für den Bucket erteilt haben. Es gab die Möglichkeit, die Google SecOps-Instanz eines Kunden für die Aufnahme von Daten aus dem Cloud Storage-Bucket eines anderen Kunden zu konfigurieren. Bei einer Wirkungsanalyse haben wir festgestellt, dass diese Sicherheitslücke weder aktuell noch in der Vergangenheit ausgenutzt wurde. Die Sicherheitslücke war vor dem 19. September 2023 in allen Versionen von Google SecOps aufgetreten.

Was soll ich tun?

Am 19. September 2023 wurde Google SecOps aktualisiert, um diese Sicherheitslücke zu beheben. Kunden müssen nichts weiter tun.

Welche Sicherheitslücken werden behoben?

Bisher stellte Google SecOps ein freigegebenes Dienstkonto zur Verfügung, über das Kunden Berechtigungen für einen Bucket erteilt haben. Da verschiedene Kunden demselben Google SecOps-Dienstkonto die Berechtigung für ihren Bucket erteilt haben, gab es einen Exploit-Vektor, der es dem Feed eines Kunden ermöglichte, auf den Bucket eines anderen Kunden zuzugreifen, wenn ein Feed erstellt oder geändert wurde. Für diesen Ausnutzungsvektor musste der Bucket-URI bekannt sein. Google SecOps verwendet jetzt beim Erstellen oder Ändern von Feeds für jeden Kunden eindeutige Dienstkonten.