Los clientes pueden configurar Google SecOps para transferir datos desde buckets de Cloud Storage de propiedad del cliente que usan un feed de transferencia. Hasta recientemente, Google SecOps proporcionó una cuenta de servicio compartida que clientes usados para otorgar permiso al bucket. Existió una oportunidad para configurar la instancia de Google SecOps de un cliente para transferir datos desde el bucket de Cloud Storage de otro cliente. Después del realizar un análisis del impacto, no encontramos ninguna explotación actual ni previa de esta vulnerabilidad. La vulnerabilidad estaba presente en todas las versiones de Google SecOps antes del 19 de septiembre de 2023.

¿Qué debo hacer?

El 19 de septiembre de 2023, Google SecOps se actualizó para abordar esta vulnerabilidad. Los clientes no deben realizar ninguna acción.

¿Qué vulnerabilidades se abordan?

Anteriormente, Google SecOps proporcionaba una cuenta de servicio compartida que los clientes usaron para otorgar permiso a un bucket. Porque la diferencia los clientes otorgaron permiso a la misma cuenta de servicio de Google SecOps para en su bucket, existía un vector de explotación que permitía que un cliente para acceder al bucket de un cliente diferente cuando se creaba un feed o modificarse. Este vector de explotación requería conocer el bucket URI Durante la creación o modificación de feeds, Google SecOps usa cuentas de servicio únicas para cada cliente.