Boletins de segurança

Veja a seguir todos os boletins de segurança relacionados ao Dataflow.

Para receber os boletins de segurança mais recentes, siga um destes procedimentos:

Adicione o URL desta página ao seu leitor de feeds
Adicione o URL do feed diretamente ao seu leitor de feeds: https://cloud.google.com/feeds/dataflow-security-bulletins.xml

GCP-2024-040

Publicado em: 03/07/2024

Descrição Gravidade Observações

Descrição	Gravidade	Observações
Uma vulnerabilidade de execução remota de código, CVE-2024-6387, foi descoberta recentemente no OpenSSH. Os jobs do Dataflow podem criar VMs que usam uma imagem do SO com versões do OpenSSH vulneráveis à CVE-2024-6387. A vulnerabilidade permite que invasores obtenham acesso raiz a VMs de worker do Dataflow. VMs de worker do Dataflow com SSH e endereços IP públicos expostos à Internet precisam ser tratados com a maior prioridade de mitigação. O que devo fazer? Uma imagem de VM do Dataflow com patch que inclui um OpenSSH atualizado será disponibilizada o mais rápido possível. Este boletim será atualizado quando as imagens com patches estiverem disponíveis. Recomendamos seguir estas etapas para verificar a exposição dos seus pipelines e aplicar as mitigações descritas, conforme necessário. Não permitir SSH para VMs de worker do Dataflow Essa ação é a mitigação mais eficaz contra vulnerabilidades atuais e futuras no SSH. Acesso SSH para VMs de worker do Dataflow não é necessário para que o Dataflow funcione ou para depurar a maioria dos problemas do Dataflow. Use o seguinte comando da CLI do Google Cloud para desativar o SSH para VMs do Dataflow: gcloud compute firewall-rules create block-ssh-dataflow \ --network=`NETWORK` \ --action=DENY --priority=500 \ --rules=tcp:22 \ --target-tags=dataflow Depois que uma imagem corrigida for lançada, para reverter essa ação, use o `gcloud compute firewall-rules delete block-ssh-dataflow` comando. Atualizar ou reiniciar pipelines de streaming de longa duração após o lançamento de um patch Essa ação corrige a vulnerabilidade específica mencionada neste boletim. Todos os novos jobs em lote que você executar depois que o patch for lançado usam automaticamente a imagem de VM com patch. Nos casos de pipelines de streaming, para usar a imagem de VM com patch, é necessário fazer o update manual do job ou reiniciá-lo. Identificar quais jobs do Dataflow têm VMs de worker com endereços IP públicos A menos que o acesso seja bloqueado por firewalls, as portas SSH do Dataflow, VMs de worker com endereços IP públicos estão abertas à Internet. Para conferir uma lista de jobs do Dataflow que iniciaram VMs com IP externo, use o seguinte comando da CLI gcloud: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \ AND description ~ 'Created for Dataflow job'" \ --format="list (description)" \| sort -u Para inspecionar a lista de todas as VMs com endereços IP externos no projeto, use o seguinte comando CLI gcloud: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'" Desativar IPs públicos nos jobs do Dataflow Essa etapa garante que as portas SSH não estejam abertas para a Internet pública. A menos que o acesso seja bloqueado por um firewall, essa configuração deixa as portas abertas para outros usuários com acesso a essa rede. Os pipelines do Dataflow que não acessam a Internet pública não precisam usar endereços IP públicos. Se você identificar pipelines que estejam usando endereços IP públicos, mas não precisam de acesso à Internet pública, desative os endereços IP externos para esses pipelines. Para mais instruções, consulte Desative o endereço IP externo. Quais vulnerabilidades estão sendo resolvidas? A vulnerabilidade CVE-2024-6387 explora uma disputa que pode ser usada para obter acesso a um shell remoto, permitindo que os invasores obtenham acesso raiz a VMs de worker do Dataflow. No momento da publicação, a exploração é considerada difícil e leva várias horas por máquina sendo invadida. Não estamos cientes de tentativas de exploração.	Médio	CVE-2024-6387

Uma vulnerabilidade de execução remota de código, CVE-2024-6387, foi descoberta recentemente no OpenSSH. Os jobs do Dataflow podem criar VMs que usam uma imagem do SO com versões do OpenSSH vulneráveis à CVE-2024-6387. A vulnerabilidade permite que invasores obtenham acesso raiz a VMs de worker do Dataflow. VMs de worker do Dataflow com SSH e endereços IP públicos expostos à Internet precisam ser tratados com a maior prioridade de mitigação.

O que devo fazer?

Uma imagem de VM do Dataflow com patch que inclui um OpenSSH atualizado será disponibilizada o mais rápido possível. Este boletim será atualizado quando as imagens com patches estiverem disponíveis. Recomendamos seguir estas etapas para verificar a exposição dos seus pipelines e aplicar as mitigações descritas, conforme necessário.

Não permitir SSH para VMs de worker do Dataflow

Essa ação é a mitigação mais eficaz contra vulnerabilidades atuais e futuras no SSH.

Acesso SSH para VMs de worker do Dataflow não é necessário para que o Dataflow funcione ou para depurar a maioria dos problemas do Dataflow.

Use o seguinte comando da CLI do Google Cloud para desativar o SSH para VMs do Dataflow:

gcloud compute firewall-rules create block-ssh-dataflow \
   --network=NETWORK \
   --action=DENY --priority=500 \
   --rules=tcp:22 \
   --target-tags=dataflow

Depois que uma imagem corrigida for lançada, para reverter essa ação, use o gcloud compute firewall-rules delete block-ssh-dataflow comando.

Atualizar ou reiniciar pipelines de streaming de longa duração após o lançamento de um patch

Essa ação corrige a vulnerabilidade específica mencionada neste boletim.

Todos os novos jobs em lote que você executar depois que o patch for lançado usam automaticamente a imagem de VM com patch. Nos casos de pipelines de streaming, para usar a imagem de VM com patch, é necessário fazer o update manual do job ou reiniciá-lo.

Identificar quais jobs do Dataflow têm VMs de worker com endereços IP públicos

A menos que o acesso seja bloqueado por firewalls, as portas SSH do Dataflow, VMs de worker com endereços IP públicos estão abertas à Internet.

Para conferir uma lista de jobs do Dataflow que iniciaram VMs com IP externo, use o seguinte comando da CLI gcloud:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \
              AND description ~ 'Created for Dataflow job'" \
   --format="list (description)" | sort -u

Para inspecionar a lista de todas as VMs com endereços IP externos no projeto, use o seguinte comando CLI gcloud:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'"

Desativar IPs públicos nos jobs do Dataflow

Essa etapa garante que as portas SSH não estejam abertas para a Internet pública. A menos que o acesso seja bloqueado por um firewall, essa configuração deixa as portas abertas para outros usuários com acesso a essa rede.

Os pipelines do Dataflow que não acessam a Internet pública não precisam usar endereços IP públicos.

Se você identificar pipelines que estejam usando endereços IP públicos, mas não precisam de acesso à Internet pública, desative os endereços IP externos para esses pipelines. Para mais instruções, consulte Desative o endereço IP externo.

Quais vulnerabilidades estão sendo resolvidas?

A vulnerabilidade CVE-2024-6387 explora uma disputa que pode ser usada para obter acesso a um shell remoto, permitindo que os invasores obtenham acesso raiz a VMs de worker do Dataflow. No momento da publicação, a exploração é considerada difícil e leva várias horas por máquina sendo invadida. Não estamos cientes de tentativas de exploração.

Médio

CVE-2024-6387