Les clients peuvent configurer Google SecOps pour ingérer les données des buckets Cloud Storage appartenant au client à l'aide d'un flux d'ingestion. Jusqu'au Google SecOps a récemment fourni un compte de service partagé pour accorder des autorisations au bucket. Une opportunité existe de sorte que l'instance Google SecOps d'un client puisse être configurée pour ingérer des données à partir du bucket Cloud Storage d'un autre client. Après d'une analyse d'impact, nous avons découvert qu'aucune exploitation actuelle ni antérieure de cette faille. La faille était présente dans toutes les versions Google SecOps avant le 19 septembre 2023.

Que dois-je faire ?

Le 19 septembre 2023, Google SecOps a été mis à jour pour répondre aux cette faille. Aucune action n'est requise de la part du client.

Quelles failles sont corrigées ?

Auparavant, Google SecOps fournissait un compte de service partagé utilisé par les clients pour accorder des autorisations à un bucket. En effet, différentes ont accordé au même compte de service Google SecOps l'autorisation de dans son bucket, il existait un vecteur d'exploitation permettant à un client pour accéder au bucket d'un autre client lors de la création du flux ou modifiées. Ce vecteur d'exploitation nécessitait la connaissance du bucket URI. Lors de la création ou de la modification d'un flux, Google SecOps utilise des comptes de service uniques pour chaque client.