.
Configurações excessivamente permissivas no serviço Document AI do Google Cloud podem ser usadas indevidamente por ladrões de dados para invadir buckets do Cloud Storage e roubar informações confidenciais.
Isso, de acordo com a empresa de detecção e resposta a ameaças Vectra AI e sua principal pesquisadora de segurança, Kat Traxler, que diz que, apesar de eventualmente receber uma recompensa por bug do Google pela descoberta, a gigante da nuvem ainda precisa corrigir a configuração incorreta, o que significa que esse vetor de ataque ainda está totalmente aberto.
Todo o processo de relato de vulnerabilidade foi um pouco confuso. Traxler relatou a falha no início de abril, mas o Google inicialmente determinou que a documentação era “insuficiente” para pagar uma recompensa pela descoberta. Então, mais tarde, eles mudaram de curso e deram à caçadora de bugs $ 3133,70 por seu relato — e marcaram o status como “corrigido”, enquanto Traxler afirma que ainda é um problema.
O Google não respondeu imediatamente O Registroperguntas.
“Os atacantes são tão sofisticados quanto precisam ser”, disse Traxler O Registroquando questionado sobre a probabilidade do problema ser abusado em ataques no mundo real.
“Se um ambiente for imaturo, com amplo acesso a dados comumente e facilmente encontrados, aproveitar essa falha no Document AI é desnecessário”, disse ela. “No entanto, em ambientes reforçados que aderem mais estritamente ao privilégio mínimo, aproveitar o serviço Document AI para exfiltrar dados se alinharia à motivação de um invasor e pode ser o caminho mais fácil para atingir objetivos.”
Traxler detalhou esse ataque em uma pesquisa publicada na segunda-feira junto com uma prova de conceito (POC) demonstrando como ela ignorou os controles de acesso do Document AI, roubou um PDF de um bucket de origem do Google Cloud Storage, alterou o arquivo e o devolveu.
O problema existe no Document AI, um serviço do Google Cloud que usa aprendizado de máquina para extrair informações de documentos e visa tornar mais fácil e rápido para as empresas analisar e processar grandes quantidades de documentos. Os clientes podem usar modelos pré-treinados ou criar os seus próprios, e podem processar documentos armazenados no Google Cloud Storage por meio de jos padrão (online) ou processamento em lote (offline).
Durante o processamento em lote, o serviço usa uma conta de serviço gerenciada pelo Google chamada agente de serviço. Ela é usada como identidade no processamento em lote, e ingere os dados e gera os resultados.
Aí está o problema, de acordo com Traxler. As permissões predefinidas do agente de serviço são muito amplas e, no modo de processamento em lote, o serviço usa as permissões do agente de serviço, não as permissões do chamador.
As permissões concedidas ao agente de serviço permitem que ele acesse qualquer bucket do Google Cloud Storage dentro do mesmo projeto, permitindo assim que o serviço mova dados aos quais o usuário normalmente não teria acesso.
“Esse recurso permite que um agente malicioso exfiltre dados do GCS para um bucket arbitrário do Cloud Storage, ignorando controles de acesso e exfiltrando informações confidenciais”, escreveu Traxler. “Aproveitar o serviço (e sua identidade) para exfiltrar dados constitui abuso de acesso transitivo, ignorando controles de acesso esperados e comprometendo a confidencialidade dos dados.”
Traxler relatou o problema de exfiltração de dados ao Programa de Recompensa de Vulnerabilidade do Google em 4 de abril. Após algumas idas e vindas, todas detalhadas no artigo do Vectra, o VPR finalmente determinou em 7 de maio que o “impacto de segurança desse problema não atende aos padrões de uma recompensa financeira”. Em vez disso, Traxler recebeu uma menção honrosa.
Em 7 de junho, o Google alterou o status do bug para “corrigido”. No mesmo mês, Traxler contestou a descoberta e, no início de julho, enviou um POC ao Google, junto com a seguinte mensagem:
Mais tarde, em julho, Traxler lembrou à equipe de recompensas por bugs que ela demonstraria o risco de roubo de dados do Document AI no fwd:cloudsec Europe 2024, que acontece hoje, e em agosto, novamente, sugeriu mudar o status, pois, segundo ela, o problema ainda não foi corrigido.
Em 9 de setembro, Traxler recebeu a notícia de que a VRP decidiu lhe dar uma recompensa de US$ 3.133,70 por sua divulgação.
“Parabéns! Justificativa para esta decisão: Aplicativos normais do Google. A categoria de vulnerabilidade é ‘ignorar controles de segurança significativos’, outros dados/sistemas”, de acordo com o cronograma publicado no relato do Vectra. “Aplicamos um downgrade porque o invasor precisa ter acesso ao projeto de uma vítima impactada.”
De novo, O Registro entrou em contato com o Google para contar sua versão da história e espera poder incluir comentários em breve. ®
.
