La cyber-sécurité le chercheur Imre Rad a révélé une vulnérabilité potentielle qui peut être exploitée pour obtenir un accès root aux machines virtuelles (VM) s’exécutant sur Google Cloud.
Plus précisément, l’attaque exploite une faiblesse de Google Compute Engine (GCE), qui est l’infrastructure en tant que service de Google Cloud (IaaS) produit.
Rad explique que les attaquants peuvent s’emparer des machines virtuelles GCE en profitant d’une faiblesse du générateur de nombres aléatoires du serveur DHCP ISC qu’ils utilisent par défaut, ainsi que « d’une combinaison malheureuse de facteurs supplémentaires ».
Nous examinons comment nos lecteurs utilisent les VPN avec des sites de streaming comme Netflix afin que nous puissions améliorer notre contenu et offrir de meilleurs conseils. Cette enquête ne prendra pas plus de 60 secondes de votre temps, et vous pouvez également choisir de participer au tirage au sort pour gagner un bon Amazon de 100 $ ou l’un des cinq abonnements ExpressVPN d’un an.
>> Cliquez ici pour lancer le sondage dans une nouvelle fenêtre <
« [The hijacking] se fait en usurpant l’identité du serveur de métadonnées du point de vue de la machine virtuelle ciblée. En montant cet exploit, l’attaquant peut s’accorder l’accès via SSH (authentification par clé publique) afin qu’il puisse ensuite se connecter en tant qu’utilisateur root », écrit Rad.
Sommaire
Probable, mais peu pratique ?
Dans son article, Rad explique que l’attaque se compose de deux phases. La première consiste à surcharger la machine virtuelle d’une victime avec du trafic DHCP afin de l’amener à utiliser un serveur de métadonnées contrôlé par un attaquant malveillant au lieu d’un serveur officiel de Google.
Une fois que la machine virtuelle de la victime écoute le serveur de métadonnées non autorisé pour obtenir des informations de configuration, l’attaquant peut envoyer sa clé publique SSH et obtenir un accès root à la machine virtuelle.
Rad dit que sa technique est inspirée d’un vecteur d’attaque partagé en dernier lieu par Chris Moberly, un autre chercheur en sécurité.
Analyser les informations de Rad, Le registre est d’avis que l’attaque n’est pas pratique, malgré le fait que Rad reproduit trois preuves de concepts qui exploitent avec succès la vulnérabilité.
Rad dit qu’il a signalé la vulnérabilité à Google en septembre 2020, mais n’a pas eu de réponse depuis. Il soupçonne que, puisque Google n’a pas fermé son rapport de bogue, il pourrait y avoir « une certaine complexité technique » qui les empêche de déployer une correction au niveau du réseau.
Google n’a pas répondu immédiatement à notre demande de clarification.
Mettre à jour:
En arrière-plan, Google a dit TechRadar Pro il a pris des mesures pour empêcher l’exploitation de la vulnérabilité via Internet ou le trafic IP externe de la machine virtuelle, bien qu’une atténuation complète n’ait pas encore été déployée.
Selon Google, les clients dont le trafic interne n’est pas fiable seraient avisés de s’assurer que le port UDP 68 entrant est bloqué par des pare-feu pour empêcher les activités malveillantes.
