A Tenable, especialista em gerenciamento de exposição cibernética, identificou uma vulnerabilidade crítica no Google Cloud Platform (GCP). Denominada ConfusedFunction, a falha compromete o serviço Cloud Function e o pipeline Cloud Build CI/CD do provedor de nuvem. Apesar de o GCP ter implementado correções para novas contas do Cloud Build, instâncias existentes continuam vulneráveis e requerem ação imediata.
“A vulnerabilidade ConfusedFunction destaca os cenários problemáticos que podem surgir devido à complexidade do software e à comunicação entre serviços de um provedor de nuvem”, afirma Liv Matan, engenheira de pesquisa sênior da Tenable. “Para dar suporte à compatibilidade com versões anteriores, o GCP não alterou os privilégios das contas de serviço do Cloud Build criadas antes da implementação da correção. Isso significa que a vulnerabilidade ainda está afetando instâncias existentes e recomendamos que os clientes tomem medidas imediatas.”
Detalhes da vulnerabilidade
A vulnerabilidade ConfusedFunction permite a escalada de privilégios das permissões do Cloud Function para as permissões da conta de serviço padrão do Cloud Build. Essas permissões incluem acesso a serviços críticos como Cloud Build, armazenamento, e registro de artefatos e contêineres.
As Cloud Functions são funções sem servidor no GCP que respondem automaticamente a eventos. Durante a criação ou atualização de uma Cloud Function, um processo de backend associa uma conta de serviço padrão do Cloud Build à instância criada. Essa conta confere permissões excessivas, um aspecto que ocorre em segundo plano e é desconhecido para a maioria dos usuários.
Ação requerida
Invasores que conseguem criar ou atualizar uma Cloud Function podem escalar privilégios para a conta de serviço padrão do Cloud Build, acessando outros serviços do GCP. Embora o GCP tenha corrigido parcialmente o problema para novas contas do Cloud Build após 14 de fevereiro de 2024, a correção não se aplica completamente às instâncias existentes. O conselho é substituir contas de serviço herdadas por contas de privilégio mínimo.
