Os clientes podem configurar o Google SecOps para ingerir dados de buckets do Cloud Storage de propriedade do cliente usando um feed de ingestão. Até recentemente, o Google SecOps fornecia uma conta de serviço compartilhada que os clientes usavam para conceder permissão ao bucket. Havia uma oportunidade para que a instância do Google SecOps de um cliente pudesse ser configurada para ingerir dados do bucket do Cloud Storage de outro cliente. Após realizar uma análise de impacto, não encontramos exploração atual ou anterior dessa vulnerabilidade. Essa vulnerabilidade já estava presente em todas as versões do Google SecOps anteriores a 19 de setembro de 2023.

O que fazer?

Desde 19 de setembro de 2023, o Google SecOps foi atualizado para resolver essa vulnerabilidade. Nenhuma ação do cliente é necessária.

Quais vulnerabilidades estão sendo resolvidas?

Antes, o Google SecOps fornecia uma conta de serviço compartilhada que os clientes usavam para conceder permissão a um bucket. Como diferentes clientes deram permissão para o bucket com a mesma conta de serviço do Google SecOps, existia um vetor de exploração que permitia que o feed de um cliente acessasse o bucket de outro cliente durante a criação ou modificação de um feed. Esse vetor de exploração exigiu conhecimento do URI do bucket. Agora, durante a criação ou modificação de feeds, o Google SecOps usa contas de serviço exclusivas para cada cliente.