Die Entdeckung geht auf eine sorgfältige Analyse der Dokumentation von GCP und der Python Software Foundation zurück, die zeigte, dass diese Dienste anfällig für einen als „Dependency Confusion“ bekannten Supply-Chain-Angriff waren. Obwohl diese Angriffstechnik seit mehreren Jahren bekannt ist, offenbaren die Untersuchungen von Tenable einen erschreckenden Mangel an Bewusstsein und Präventivmaßnahmen, selbst bei großen Tech-Anbietern wie Google.
Supply-Chain-Angriffe in der Cloud richten mehr Schaden an
Supply-Chain-Angriffe in der Cloud können exponentiell mehr Schaden anrichten als in On-Prem-Umgebungen. Ein einziges schädliches Paket in einem Cloud-Dienst kann sich über riesige Netzwerke verbreiten und Millionen von Nutzern erreichen. Die CloudImposer-Schwachstelle veranschaulicht die weitreichenden Folgen solcher Angriffe und unterstreicht die dringende Notwendigkeit sowohl für Cloud-Anbieter als auch Kunden, robuste Sicherheitsmaßnahmen zu implementieren.
„Das Schadenspotenzial von CloudImposer ist immens. Durch die Entdeckung und Veröffentlichung dieser Schwachstelle haben wir ein Einfallstor geschlossen, das Angreifer auf breiter Front hätten ausnutzen können“, erklärt Liv Matan, Senior Research Engineer bei Tenable. „Die Veröffentlichung dieser Forschungsergebnisse schärft das Bewusstsein und vertieft das Verständnis dieser Art von Schwachstellen – und erhöht damit die Wahrscheinlichkeit, dass sie schneller gepatcht oder entdeckt werden. Außerdem verdeutlicht sie übergeordnete Konzepte, die Cloud-Nutzer kennen sollten, um sich für ähnliche Risiken und die dynamische Angriffsfläche zu wappnen. Diese Forschungsergebnisse ermöglichen es der Security-Community und Offensive-Security-Experten, ähnliche Schwachstellen und Fehlkonfigurationen zu identifizieren.“
Umgebungen immer aufmeksam analysieren
Cloud-Sicherheit erfordert die Zusammenarbeit von Anbietern und Kunden. Tenable empfiehlt Cloud-Nutzern dringend, ihre Umgebungen zu analysieren und ihre Paketinstallationsprozesse zu überprüfen – insbesondere das Argument --extra-index-url in Python –, um das Risiko von Dependency Confusion zu minimieren.
Nach der Veröffentlichung durch Tenable hat Google die Schwachstelle bestätigt und behoben.