A Tenable, empresa especializada em gestão de exposição a riscos, anunciou que sua equipe de pesquisa, Tenable Research, identificou uma vulnerabilidade crítica de execução remota de código (RCE) na Google Cloud Platform (GCP). Batizada de CloudImposer, a falha permitia que atacantes mal-intencionados executassem código em milhões de servidores do GCP e nos sistemas de seus clientes. A vulnerabilidade afetava diretamente serviços como App Engine, Cloud Function e Cloud Composer.
O impacto da descoberta
A falha foi identificada por meio de uma análise detalhada da documentação do GCP e da Python Software Foundation, revelando que os serviços eram suscetíveis a um ataque conhecido como “confusão de dependências”. Apesar de ser uma técnica amplamente reconhecida na indústria, a pesquisa da Tenable expôs a falta de medidas preventivas, mesmo entre grandes provedores como o Google.
“Ao descobrir e divulgar essa vulnerabilidade, fechamos uma porta importante que os atacantes poderiam ter explorado em larga escala”, afirmou Liv Matan, engenheiro sênior de pesquisa da Tenable.
O perigo dos ataques à cadeia de suprimentos na nuvem
A CloudImposer ressalta os riscos de ataques à cadeia de suprimentos, que, em ambientes de nuvem, podem ter um impacto muito maior do que em sistemas locais. Um único pacote malicioso pode comprometer vastas redes e usuários em escala global, demonstrando a urgência de reforçar as medidas de segurança, tanto por parte dos provedores quanto dos clientes.
“O raio de impacto do CloudImposer é imenso. Essa pesquisa aumenta a conscientização sobre vulnerabilidades na nuvem e capacita a comunidade de segurança a identificar e corrigir falhas semelhantes”, explicou Matan.
Medidas preventivas e colaboração
A Tenable destacou a importância da colaboração entre provedores de nuvem e seus clientes para mitigar os riscos. A empresa sugere que os usuários revisem seus ambientes e fiquem atentos ao uso do argumento –extra-index-url no Python, uma das possíveis causas de confusão de dependências.
Após a divulgação da falha, o Google corrigiu o problema, e detalhes técnicos sobre a descoberta foram disponibilizados no blog da Tenable.
