Boletins de segurança | Google Security Operations

Esta página foi traduzida pela API Cloud Translation.

Esta página mostra todos os boletins de segurança relacionados às operações de segurança do Google.

GCP-2023-028

Publicado : 19/09/2023

Atualizado em : 29/05/2024

Descrição

Descrição	Gravidade	Observações
Atualização de 29/05/2024: os novos feeds não usam mais a conta de serviço compartilhada, mas ela permanece ativa para os feeds atuais a fim de evitar interrupções do serviço. As alterações na origem em feeds mais antigos são bloqueadas para evitar o uso indevido da conta de serviço compartilhada. Os clientes podem continuar usando os feeds antigos normalmente, desde que não mudem a origem. Os clientes podem configurar o Google SecOps para ingerir dados de buckets do Cloud Storage de propriedade do cliente usando um feed de ingestão. Até recentemente, o Google SecOps fornecia uma conta de serviço compartilhada que os clientes usavam para conceder permissão ao bucket. Havia uma oportunidade que permitia a configuração da instância do Google SecOps de um cliente para ingerir dados do bucket do Cloud Storage de outro cliente. Depois de uma análise de impacto, não encontramos nenhuma exploração dessa vulnerabilidade atual ou anterior. A vulnerabilidade estava presente em todas as versões do Google SecOps antes de 19 de setembro de 2023. O que fazer? Em 19 de setembro de 2023, o Google SecOps foi atualizado para solucionar essa vulnerabilidade. Nenhuma ação do cliente é necessária. Quais vulnerabilidades estão sendo resolvidas? Anteriormente, o Google SecOps fornecia uma conta de serviço compartilhada que os clientes usavam para conceder permissão a um bucket. Como diferentes clientes deram permissão à mesma conta de serviço do Google SecOps para o bucket, havia um vetor de exploração que permitia que o feed de um cliente acessasse o bucket de outro cliente durante a criação ou modificação de um feed. Esse vetor de exploração exigia conhecimento do URI do bucket. Durante a criação ou modificação do feed, o Google SecOps usa contas de serviço exclusivas para cada cliente.	Alto

Gravidade

Observações

Atualização de 29/05/2024: os novos feeds não usam mais a conta de serviço compartilhada, mas ela permanece ativa para os feeds atuais a fim de evitar interrupções do serviço. As alterações na origem em feeds mais antigos são bloqueadas para evitar o uso indevido da conta de serviço compartilhada. Os clientes podem continuar usando os feeds antigos normalmente, desde que não mudem a origem.

Os clientes podem configurar o Google SecOps para ingerir dados de buckets do Cloud Storage de propriedade do cliente usando um feed de ingestão. Até recentemente, o Google SecOps fornecia uma conta de serviço compartilhada que os clientes usavam para conceder permissão ao bucket. Havia uma oportunidade que permitia a configuração da instância do Google SecOps de um cliente para ingerir dados do bucket do Cloud Storage de outro cliente. Depois de uma análise de impacto, não encontramos nenhuma exploração dessa vulnerabilidade atual ou anterior. A vulnerabilidade estava presente em todas as versões do Google SecOps antes de 19 de setembro de 2023.

O que fazer?

Em 19 de setembro de 2023, o Google SecOps foi atualizado para solucionar essa vulnerabilidade. Nenhuma ação do cliente é necessária.

Quais vulnerabilidades estão sendo resolvidas?

Anteriormente, o Google SecOps fornecia uma conta de serviço compartilhada que os clientes usavam para conceder permissão a um bucket. Como diferentes clientes deram permissão à mesma conta de serviço do Google SecOps para o bucket, havia um vetor de exploração que permitia que o feed de um cliente acessasse o bucket de outro cliente durante a criação ou modificação de um feed. Esse vetor de exploração exigia conhecimento do URI do bucket. Durante a criação ou modificação do feed, o Google SecOps usa contas de serviço exclusivas para cada cliente.

Alto