Les clients peuvent configurer Google SecOps pour ingérer les données de leurs buckets Cloud Storage à l'aide d'un flux d'ingestion. Jusqu'à récemment, Google SecOps fournissait un compte de service partagé que les clients utilisaient pour accorder des autorisations au bucket. Avec cette opportunité, l'instance Google SecOps d'un client peut être configurée pour ingérer les données du bucket Cloud Storage d'un autre client. Après avoir effectué une analyse d'impact, nous n'avons trouvé aucune exploitation actuelle ou antérieure de cette faille. La faille était présente dans toutes les versions de Google SecOps avant le 19 septembre 2023.

Que dois-je faire ?

Le 19 septembre 2023, Google SecOps a été mis à jour pour corriger cette faille. Aucune action n'est requise de la part du client.

Quelles failles sont corrigées ?

Auparavant, Google SecOps fournissait un compte de service partagé que les clients utilisaient pour accorder des autorisations à un bucket. Étant donné que différents clients ont autorisé le même compte de service Google SecOps à accéder à leur bucket, il existe un vecteur d'exploitation permettant au flux d'un client d'accéder au bucket d'un autre client lors de la création ou de la modification d'un flux. Ce vecteur d'exploitation nécessitait la connaissance de l'URI du bucket. Désormais, lors de la création ou de la modification du flux, Google SecOps utilise des comptes de service uniques pour chaque client.