Los clientes pueden configurar Google SecOps para transferir datos de buckets de Cloud Storage que son propiedad del cliente mediante un feed de transferencia. Hasta hace poco, Google SecOps proporcionaba una cuenta de servicio compartida que los clientes usaban para otorgarle permiso al bucket. Existió una oportunidad de tal manera que la instancia de Google SecOps de un cliente se podía configurar para transferir datos desde el bucket de Cloud Storage de otro cliente. Después de realizar un análisis de impacto, no encontramos ninguna explotación actual ni previa de esta vulnerabilidad. La vulnerabilidad estaba presente en todas las versiones de Google SecOps antes del 19 de septiembre de 2023.

¿Qué debo hacer?

Desde el 19 de septiembre de 2023, Google SecOps se actualizó para abordar esta vulnerabilidad. Los clientes no deben realizar ninguna acción.

¿Qué vulnerabilidades se abordan?

Anteriormente, Google SecOps proporcionaba una cuenta de servicio compartida que los clientes usaban para otorgar permiso a un bucket. Debido a que diferentes clientes otorgaron permiso a la misma cuenta de servicio de Google SecOps para su bucket, existía un vector de explotación que permitía que el feed de un cliente acceda al bucket de otro cliente cuando se creaba o modificaba un feed. Este vector de explotación requería conocer el URI del bucket. Ahora, durante la creación o modificación del feed, Google SecOps usa cuentas de servicio únicas para cada cliente.