Questa pagina fornisce tutti i bollettini di sicurezza relativi a Google Security Operations.

GCP-2023-028

Pubblicato il: 19/09/2023

Ultimo aggiornamento: 29/05/2024

Descrizione

Descrizione Gravità Note
Aggiornamento del 29 maggio 2024: i nuovi feed non utilizzano più l'account di servizio condiviso, che rimane attivo per i feed esistenti per evitare interruzioni del servizio. Le modifiche all'origine nei feed precedenti sono bloccate per impedire l'uso improprio dell'account di servizio condiviso. I clienti possono continuare a utilizzare i vecchi feed normalmente, a patto che non modifichino l'origine.

I clienti possono configurare Google SecOps per importare i dati ai bucket Cloud Storage di proprietà del cliente usando un feed di importazione. Fino al giorno di recente, Google SecOps ha fornito un account di servizio condiviso utilizzati dai clienti per concedere l'autorizzazione al bucket. Esisteva un'opportunità per cui l'istanza Google SecOps di un cliente poteva essere configurata per importare i dati dal bucket Cloud Storage di un altro cliente. Dopo il giorno di un’analisi d’impatto, non abbiamo riscontrato alcuna forma di sfruttamento di questa vulnerabilità. La vulnerabilità era presente in tutte le versioni di Google SecOps prima del 19 settembre 2023.

Che cosa devo fare?

A partire dal 19 settembre 2023, Google SecOps è stato aggiornato per risolvere questa vulnerabilità. Non è necessario alcun intervento da parte del cliente.

Quali vulnerabilità vengono affrontate?

In precedenza, Google SecOps forniva un account di servizio condiviso utilizzati dai clienti per concedere le autorizzazioni a un bucket. Poiché diversi che i clienti hanno concesso la stessa autorizzazione dell'account di servizio Google SecOps a il proprio bucket, esisteva un vettore di sfruttamento che consentiva per accedere al bucket di un cliente diverso al momento della creazione di un feed o modificati. Questo vettore di sfruttamento richiedeva la conoscenza dell'URI del bucket. Ora, durante la creazione o la modifica del feed, Google SecOps utilizza account di servizio univoci per ogni cliente.

Alta