Les clients peuvent configurer Google SecOps pour ingérer les données des buckets Cloud Storage appartenant au client à l'aide d'un flux d'ingestion. Jusqu'à récemment, Google SecOps fournissait un compte de service partagé que les clients utilisaient pour accorder une autorisation au bucket. Il était possible de configurer l'instance Google SecOps d'un client pour ingérer les données d'un bucket Cloud Storage d'un autre client. Après avoir effectué une analyse d'impact, nous n'avons détecté aucune exploitation actuelle ni antérieure de cette faille. La faille était présente dans toutes les versions de Google SecOps antérieures au 19 septembre 2023.

Que dois-je faire ?

Depuis le 19 septembre 2023, Google SecOps a été mis à jour pour corriger cette faille. Aucune action n'est requise de la part du client.

Quelles failles sont corrigées ?

Auparavant, Google SecOps fournissait un compte de service partagé que les clients utilisaient pour accorder une autorisation à un bucket. Étant donné que différents clients ont accordé la même autorisation au compte de service Google SecOps pour leur bucket, un vecteur d'exploitation existait qui permettait au flux d'un client d'accéder au bucket d'un autre client lors de la création ou de la modification d'un flux. Ce vecteur d'exploitation nécessitait une connaissance de l'URI du bucket. Désormais, lors de la création ou de la modification d'un flux, Google SecOps utilise des comptes de service uniques pour chaque client.