Plus de 300 000 $ ont été distribués en prix GCP en 2021
Les pirates éthiques ont gagné plus de 300 000 $ après avoir découvert diverses failles dans Google Cloud Platform (GCP).
Les sept principales vulnérabilités divulguées de manière responsable qui ont été qualifiées dans le cadre du programme de récompenses de vulnérabilité (VRP) de GCP l’année dernière a récolté un total de 313 337 $, le gagnant emportant 133 337 $.
Google a déclaré que le GCP VRP – qui a commencé en 2019 – montre que de nombreux logiciels de sécurité talentueux Chercheurs s’impliquent dans l’amélioration de la sécurité du cloud en découvrant des vulnérabilités qui, autrement, auraient pu passer inaperçues.
Le montant accordé représente une fraction importante des 8,7 millions de dollars accordés par Google (en anglais seulement dans l’ensemble de sa gamme complète de programmes de divulgation des vulnérabilités.
Je suis IAP, j’espère que vous êtes API aussi
Le premier prix, et un prix de 133 337 $, a été décerné au chercheur en sécurité Sebastian Lutz pour avoir découvert un bogue dans Identity-Aware Proxy (IAP) qui offrait à un attaquant un moyen d’accéder à des ressources protégées par IAP.
La faille signifiait que si un attaquant incitait une victime potentielle à visiter une URL qui était sous son contrôle, il serait en mesure de voler son jeton d’authentification IAP, comme expliqué plus en détail dans un article de blog technique.
Ne calcule pas
Le chercheur hongrois Imre Rad a remporté un deuxième prix de 73 331 $ après avoir découvert un mécanisme permettant de prendre le contrôle d’une machine virtuelle Google Compute Engine.
Le piratage reposait sur l’envoi de paquets DHCP (Dynamic Host Configuration Protocol) malveillants à la machine virtuelle afin d’usurper le serveur de métadonnées Google Compute Engine.
Comme expliqué dans un rédaction technique par Rad sur Github, la faille et les attaques associées ont été signalées pour la première fois à Google en septembre 2020.
Un long processus de divulgation a suivi, et ce n’est qu’après que Rad a rendu publiques ses conclusions en juin 2021 que Google a résolu le problème un mois plus tard.
Aller avec le flux de données
La troisième place de l’édition 2021 des enjeux GCP VRP – avec un prix de 73 331 $ – a été attribuée au chercheur en sécurité Mike Brancato pour la découverte et la divulgation d’un exécution de code à distance (RCE) dans Google Cloud Dataflow.
Brancato a découvert que les nœuds Dataflow exposaient un port Java JMX non authentifié, une faille de sécurité qui permettait d’exécuter des recommandations arbitraires sur la machine virtuelle, comme expliqué dans un article de blog technique.
L’impact de la vulnérabilité dépend du compte de service affecté aux nœuds de travail Dataflow, a déclaré Brancato La gorgée quotidienne.
Le chercheur a expliqué: « Par défaut, il s’agit du compte de service par défaut google Compute Engine, auquel le rôle d’éditeur à l’échelle du projet est attribué. Le rôle d’éditeur dispose de nombreuses autorisations pour créer et détruire des ressources – il fait partie des « rôles de base » que Google ne recommande pas d’utiliser car ils fournissent des autorisations étendues.
En savoir plus sur les dernières actualités en matière de sécurité du cloud
Ils ont ajouté : « Le vulnérabilité est facilement exploitable avec des outils existants comme Metasploit », à condition qu’un attaquant identifie un port de pare-feu ouvert qui expose un système vulnérable à une attaque potentielle.
Le chercheur en sécurité travaille dans le domaine de la sécurité du cloud depuis 2017 et bug bounty la chasse est devenue une extension naturelle de leur travail régulier.
« Dans le cadre de mon exposition au cloud Apis et mes antécédents, j’ai commencé à identifier des systèmes qui semblent intéressants et qui peuvent être vulnérables aux attaques », a conclu Brancato.
La gorgée quotidienne A également invité Lutz et Rad à commenter leurs recherches respectives, ainsi qu’à demander à Google comment il aimerait améliorer les éléments axés sur le cloud de son programme de bug bounty.
RECOMMANDÉ HTTP/3 évolue vers RFC 9114 – un avantage en matière de sécurité, mais pas sans défis
