Boletines de seguridad de Google Cloud Platform

Los siguientes boletines de seguridad se relacionan con Google Cloud.

GCP-2020-009

Publicado: 15 de julio de 2020

Descripción

Descripción Gravedad Notas

Una vulnerabilidad de elevación de privilegios, CVE-2020-8559, se descubrió recientemente en Kubernetes. Esta vulnerabilidad permite que un atacante que ya vulneró un nodo pueda ejecutar un comando en cualquier pod en el clúster. Por lo tanto, el atacante puede usar el nodo ya vulnerado para poner en riesgo otros nodos y puede leer información o realizar acciones destructivas.

Ten en cuenta que, para que un atacante aproveche esta vulnerabilidad, un nodo de tu clúster ya debe estar en riesgo. Esta vulnerabilidad, por sí sola, no comprometerá ningún nodo de tu clúster.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Medio

CVE-2020-8559

GCP-2020-008

Publicado: 19 de junio de 2020

Descripción

Descripción Gravedad Notas

Descripción

Las VM que tienen habilitado el acceso a SO pueden ser susceptibles a las vulnerabilidades de elevación de privilegios. Estas vulnerabilidades otorgan la capacidad de escalar el acceso raíz en la VM a los usuarios a los que se les otorgan permisos de acceso a SO (pero no acceso de administrador).

Para obtener instrucciones y más detalles, consulta el Boletín de seguridad de Compute Engine.

Alta

GCP-2020-007

Fecha de publicación: 1 de junio de 2020

Descripción

Descripción Gravedad Notas

Recientemente, se descubrió la vulnerabilidad de falsificación de solicitudes del servidor (SSRF) CVE-2020-8555 en Kubernetes, que permitió a ciertos usuarios autorizados filtrar hasta 500 bytes de información sensible desde la red host del plano de control. El plano de control de Google Kubernetes Engine (GKE) usa controladores de Kubernetes y, por lo tanto, se ve afectado por esta vulnerabilidad. Te recomendamos actualizar el plano de control a la versión más reciente del parche. No requiere actualizar los nodos.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Medio

CVE-2020-8555

GCP-2020-006

Fecha de publicación: 1 de junio de 2020

Descripción

Descripción Gravedad Notas

Kubernetes divulgó una vulnerabilidad que permite que un contenedor con privilegios redireccione el tráfico de nodo a otro contenedor. Debido a este ataque, no se puede leer ni modificar el tráfico de TLS/SSH mutuo, como el que se establece entre el servidor de Kubelet y la API, o el tráfico de aplicaciones que usan mTLS. Todos los nodos de Google Kubernetes Engine (GKE) se ven afectados por esta vulnerabilidad. Te recomendamos que actualices a la última versión del parche.

Para obtener instrucciones y más detalles, consulta los siguientes documentos:

Medio

Problema 91507 de Kubernetes

GCP‑2020‑005

Fecha de publicación: 7 de mayo de 2020

Descripción

Vulnerabilidad

Gravedad

CVE

Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-8835, que permite obtener privilegios de administrador en el nodo host mediante un escape de contenedor.

Esta vulnerabilidad afecta a los nodos de Ubuntu de Google Kubernetes Engine (GKE) que ejecutan GKE 1.16 o 1.17, y te recomendamos que actualices a la última versión del parche lo antes posible.

Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

Alta

CVE-2020-8835

GCP-2020-004

Fecha de publicación: 31 de marzo de 2020 | Última actualización: 31 de marzo de 2020

Descripción

Kubernetes divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE-2019-11254: Esta es una vulnerabilidad de denegación del servicio (DoS) que afecta al servidor de API.

Medio

CVE-2019-11254

Consulta el boletín de seguridad local de GKE On-Prem para obtener instrucciones y más detalles.

GCP‑2020‑003

Fecha de publicación: 31 de marzo de 2020 | Última actualización: 31 de marzo de 2020

Descripción

Kubernetes divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE-2019-11254: Esta es una vulnerabilidad de denegación del servicio (DoS) que afecta al servidor de API.

Medio

CVE-2019-11254

Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

GCP‑2020‑002

Fecha de publicación: 23 de marzo de 2020 | Última actualización: 23 de marzo de 2020

Descripción

Kubernetes divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE-2020-8551: Esta es una vulnerabilidad de denegación del servicio (DoS) que afecta a kubelet.

Medio

CVE-2020-8551

CVE-2020-8552: Esta es una vulnerabilidad de denegación del servicio (DoS) que afecta al servidor de API.

Medio

CVE-2020-8552

Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

GCP-2020-001

Fecha de publicación: 21 de enero de 2020 | Última actualización: 21 de enero de 2020

Descripción

Microsoft divulgó la siguiente vulnerabilidad:

Vulnerabilidad

Gravedad

CVE

CVE‑2020‑0601: Esta vulnerabilidad también se conoce como la vulnerabilidad de falsificación de identidad de la CryptoAPI de Windows. Se puede aprovechar para que archivos ejecutables maliciosos parezcan confiables o para permitir que el atacante realice ataques de intermediario y desencripte información confidencial sobre las conexiones de usuarios al software afectado.

Puntuación base de la NVD: 8.1 (alta)

CVE‑2020‑0601

Para obtener más detalles, consulta la divulgación de Microsoft.

Impacto en Google Cloud

Esta vulnerabilidad no afecta a la infraestructura en la que se alojan los productos de Google y Google Cloud. Aquí encontrarás detalles adicionales sobre cada producto.

Producto

Impacto

Compute Engine

CVE‑2020‑0601

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes que usan máquinas virtuales de Compute Engine con Windows Server deben asegurarse de que sus instancias tengan el parche más reciente de Windows o usar las imágenes de Windows Server que se proporcionan desde el 15 de enero de 2020. Consulta el boletín de seguridad de Compute Engine para obtener más detalles.

Google Kubernetes Engine

CVE‑2020‑0601

La mayoría de los clientes no debe realizar ninguna acción adicional.

A fin de mitigar esta vulnerabilidad, los clientes que usan GKE con nodos de Windows Server deben actualizar los nodos y las cargas de trabajo en contenedores que se ejecutan en esos nodos a las versiones con parches. Consulta el boletín de seguridad de GKE para obtener instrucciones y más detalles.

Servicio administrado para Microsoft Active Directory

CVE‑2020‑0601

La mayoría de los clientes no debe realizar ninguna acción adicional.

Todos los dominios de Microsoft AD administrado se actualizaron automáticamente mediante la imagen con parches. Todos los clientes que ejecuten de forma manual Microsoft Active Directory (y no usen Microsoft AD administrado) deben asegurarse de que sus instancias tengan el parche más reciente de Windows o usar las imágenes de Windows Server que se proporcionan desde el 15 de enero de 2020.

G Suite

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno estándar de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Entorno flexible de App Engine

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Run

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Functions

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud Composer

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataflow

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Dataproc

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

Cloud SQL

Los clientes no deben realizar ninguna acción.

La vulnerabilidad no afecta a este servicio.

GCP-2019-001

Fecha de publicación: 12 de noviembre de 2019 | Última actualización: 12 de noviembre de 2019

Descripción

Intel divulgó las siguientes vulnerabilidades:

Vulnerabilidad

Gravedad

CVE

CVE‑2019‑11135: Esta vulnerabilidad, conocida como anulación asíncrona de TSX (TAA), se puede usar para explotar la ejecución especulativa en una transacción TSX. Esta vulnerabilidad permite que se puedan exponer los datos mediante las mismas estructuras de datos de microarquitectura que presenta el muestreo de datos de microarquitectura (MDS).

Media

CVE‑2019‑11135

CVE‑2018‑12207: Es una vulnerabilidad de denegación del servicio (DoS) que afecta a los hosts de máquinas virtuales (no a las máquinas huésped). Este problema se conoce como “error de verificación de la máquina en el cambio de tamaño de la página”.

Media

CVE‑2018‑12207

Para obtener más información, consulta las siguientes divulgaciones de Intel:

Impacto en Google Cloud

La infraestructura en la que se alojan Google Cloud y los productos de Google está protegida contra estas vulnerabilidades. Aquí encontrarás detalles adicionales sobre cada producto.

Producto

Impacto

Compute Engine

CVE‑2019‑11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes de N2, C2 o M2 que ejecuten código no confiable en sus servicios multiusuarios alojados en máquinas virtuales de Compute Engine deben detener y, luego, iniciar sus VM para asegurarse de tener las mitigaciones de seguridad más recientes.

CVE‑2018‑12207

Los clientes no deben realizar ninguna acción adicional.

Google Kubernetes Engine

CVE‑2019‑11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Si usas grupos de nodos con nodos N2, M2 o C2 que ejecutan un código no confiable en sus clústeres de múltiples instancias de GKE, debes reiniciar los nodos. Si quieres reiniciar todos los nodos en un grupo, actualiza el grupo de nodos afectado.

CVE‑2018‑12207

Los clientes no deben realizar ninguna acción adicional.

Entorno estándar de App Engine

No se debe realizar ninguna acción adicional.

Entorno flexible de App Engine

CVE‑2019‑11135

No se debe realizar ninguna acción adicional.

Los clientes deben revisar las prácticas recomendadas de Intel, que se relacionan con el uso compartido a nivel de la aplicación que podría ocurrir entre subprocesos de Hyper‑Threading con una VM de Flex.

CVE‑2018‑12207

No se debe realizar ninguna acción adicional.

Cloud Run

No se debe realizar ninguna acción adicional.

Cloud Functions

No se debe realizar ninguna acción adicional.

Cloud Composer

No se debe realizar ninguna acción adicional.

Dataflow

CVE‑2019‑11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes de Dataflow que ejecutan varias cargas de trabajo no confiables en las VM N2, C2 o M2 de Compute Engine mediante Dataflow y teman recibir ataques en las máquinas huésped deberían considerar reiniciar cualquier canalización de transmisión que se ejecute actualmente. De forma opcional, las canalizaciones se pueden cancelar y volver a ejecutar por lotes. No requiere ninguna acción para las canalizaciones que se lancen después de hoy.

CVE‑2018‑12207

Los clientes no deben realizar ninguna acción adicional.

Dataproc

CVE‑2019‑11135

La mayoría de los clientes no debe realizar ninguna acción adicional.

Los clientes de Cloud Dataproc que ejecutan varias cargas de trabajo no confiables en el mismo clúster de Cloud Dataproc que se ejecuta en las VM N2, C2 o M2 de Compute Engine y teman recibir ataques en las máquinas huésped deberían volver a implementar sus clústeres.

CVE‑2018‑12207

Los clientes no deben realizar ninguna acción adicional.

Cloud SQL

No se debe realizar ninguna acción adicional.