Les clients peuvent configurer Google SecOps pour ingérer les données des buckets Cloud Storage appartenant au client à l'aide d'un flux d'ingestion. Jusqu'au Google SecOps a récemment fourni un compte de service partagé pour accorder des autorisations au bucket. Une opportunité existe de sorte que l'instance Google SecOps d'un client puisse être configurée pour ingérer des données à partir du bucket Cloud Storage d'un autre client. Après avoir effectué une analyse d'impact, nous n'avons détecté aucune exploitation actuelle ni antérieure de cette faille. La faille était présente dans toutes les versions Google SecOps avant le 19 septembre 2023.

Que dois-je faire ?

Depuis le 19 septembre 2023, Google SecOps a été mis à jour pour corriger cette faille. Aucune action n'est requise de la part du client.

Quelles failles sont corrigées ?

Auparavant, Google SecOps fournissait un compte de service partagé utilisé par les clients pour accorder des autorisations à un bucket. Étant donné que différents clients ont accordé la même autorisation au compte de service Google SecOps pour leur bucket, un vecteur d'exploitation existait qui permettait au flux d'un client d'accéder au bucket d'un autre client lors de la création ou de la modification d'un flux. Ce vecteur d'exploitation nécessitait la connaissance du bucket URI. Désormais, lors de la création ou de la modification d'un flux, Google SecOps utilise des comptes de service uniques pour chaque client.