Les clients peuvent configurer la suite Opérations de sécurité Google pour ingérer les données de buckets Cloud Storage appartenant au client à l'aide d'un flux d'ingestion. Jusqu'à récemment, la suite Opérations de sécurité Google proposait un compte de service partagé que les clients utilisaient pour accorder des autorisations au bucket. Une opportunité existait : l'instance Opérations de sécurité Google d'un client pouvait être configurée pour ingérer les données du bucket Cloud Storage d'un autre client. Après avoir effectué une analyse d'impact, nous n'avons détecté aucune exploitation antérieure ou actuelle de cette faille. La faille était présente dans toutes les versions des opérations de sécurité Google avant le 19 septembre 2023.

Que dois-je faire ?

Le 19 septembre 2023, les opérations de sécurité Google ont été mises à jour pour corriger cette faille. Aucune action n'est requise de la part du client.

Quelles failles sont corrigées ?

Auparavant, la suite Opérations de sécurité de Google proposait un compte de service partagé que les clients utilisaient pour accorder des autorisations à un bucket. Étant donné que différents clients ont autorisé le même compte de service Google Security Operations à accéder à leur bucket, il existait un vecteur d'exploitation permettant au flux d'un client d'accéder au bucket d'un autre client lors de la création ou de la modification d'un flux. Ce vecteur d'exploitation nécessitait la connaissance de l'URI du bucket. Désormais, lors de la création ou de la modification des flux, Google Security Operations utilise des comptes de service uniques pour chaque client.