Os clientes podem configurar o Google SecOps para ingerir dados de buckets do Cloud Storage pertencentes ao cliente usando um feed de ingestão. Até recentemente, o Google SecOps oferecia uma conta de serviço compartilhada que os clientes usavam para conceder permissão ao bucket. Uma oportunidade existia para que a instância do Google SecOps de um cliente pudesse ser configurada para ingerir dados do bucket do Cloud Storage de outro cliente. Depois de realizar uma análise de impacto, não encontramos exploração atual ou anterior dessa vulnerabilidade. A vulnerabilidade estava presente em todas as versões do Google SecOps antes de 19 de setembro de 2023.

O que fazer?

Desde 19 de setembro de 2023, o Google SecOps foi atualizado para resolver essa vulnerabilidade. Nenhuma ação do cliente é necessária.

Quais vulnerabilidades estão sendo resolvidas?

Antes, o Google SecOps fornecia uma conta de serviço compartilhada que os clientes usavam para conceder permissão a um bucket. Como clientes diferentes concederam a mesma permissão da conta de serviço do Google SecOps ao bucket, houve um vetor de exploração que permitia que o feed de um cliente acessasse o bucket de outro cliente quando um feed estava sendo criado ou modificado. Esse vetor de exploração exigia conhecimento do URI do bucket. Agora, durante a criação ou modificação do feed, o Google SecOps usa contas de serviço exclusivas para cada cliente.