Les clients peuvent configurer Google SecOps pour ingérer les données des buckets Cloud Storage appartenant au client à l'aide d'un flux d'ingestion. Jusqu'à récemment, Google SecOps proposait un compte de service partagé que les clients utilisaient pour accorder des autorisations au bucket. Une opportunité existait : l'instance Google SecOps d'un client pouvait être configurée pour ingérer les données du bucket Cloud Storage d'un autre client. Après avoir effectué une analyse d'impact, nous n'avons détecté aucune exploitation antérieure ou actuelle de cette faille. La faille était présente dans toutes les versions de Google SecOps avant le 19 septembre 2023.

Que dois-je faire ?

Le service Google SecOps a été mis à jour le 19 septembre 2023 pour corriger cette faille. Aucune action n'est requise de la part du client.

Quelles failles sont corrigées ?

Auparavant, Google SecOps proposait un compte de service partagé que les clients utilisaient pour accorder des autorisations à un bucket. Étant donné que différents clients avaient autorisé le même compte de service Google SecOps à accéder à leur bucket, il existait un vecteur d'exploitation permettant au flux d'un client d'accéder au bucket d'un autre client lors de la création ou de la modification d'un flux. Ce vecteur d'exploitation nécessitait la connaissance de l'URI du bucket. Désormais, lors de la création ou de la modification des flux, Google SecOps utilise des comptes de service uniques pour chaque client.