Cloud Composer verwendet Cloud Build, einen vollständig gemanagten CI/CD-Service in GCP, um benutzerdefinierte PyPI-Pakete zu installieren. Dabei kommt standardmäßig ein hochprivilegiertes Cloud-Build-Servicekonto zum Einsatz. Den Erkenntnissen von Tenable Research zufolge könnten Angreifer mit Bearbeitungsrechten in Cloud Composer diesen Prozess ausnutzen, um bösartige Pakete einzuschleusen, ihre Berechtigungen auszuweiten und Kontrolle über das Cloud-Build-Servicekonto zu erlangen.
Dies würde den Zugriff auf kritische GCP-Ressourcen wie Cloud Build selbst, Cloud Storage und Artifact Registry ermöglichen – und verdeutlicht die Risiken im Zusammenhang mit vererbten Cloud-Berechtigungen.
Weitere Bedrohung durch „Jenga-Konzept“
ConfusedComposer ist eine Variante einer von Tenable entdeckten Schwachstelle namens ConfusedFunction und veranschaulicht die Komplexität und Ähnlichkeit von Cloud-Services – die letztendlich einen ausnutzbaren Angriffspfad eröffnet haben.
Darüber hinaus steht ConfusedComposer exemplarisch für ein größeres Problem: das von Tenable geprägte Jenga-Konzept – die Tendenz von Cloud-Providern, Services schichtweise aufzubauen, sodass Sicherheitsrisiken und Schwachstellen in einem Layer potenziell auf andere Services durchschlagen.
„Beim Jenga kann das Entfernen eines einzigen Bausteins das gesamte Konstrukt zum Einsturz bringen“, erklärt Liv Matan, Senior Security Researcher bei Tenable. „Cloud-Services funktionieren ähnlich: Riskante Default-Settings in einer Komponente können auf abhängige Services durchschlagen und erhöhen so das Risiko von Security Breaches.“
Potenzielle Auswirkungen von ConfusedComposer
Gelingt es Angreifern, ConfusedComposer auszunutzen, könnten sie:
sensible Daten aus GCP-Services stehlen
Schadcode in CI/CD-Pipelines einschleusen
dauerhaften Zugriff über Backdoors etablieren
Berechtigungen ausweiten und möglicherweise die vollständige Kontrolle über das GCP-Projekt eines Opfers erlangen
Google hat ConfusedComposer bereits adressiert – es sind keine zusätzlichen Maßnahmen erforderlich.
Empfehlungen für Security-Teams
Obwohl keine Benutzeraktion erforderlich ist, um ConfusedComposer zu beheben, empfiehlt Tenable Unternehmen:
das Least-Privilege-Prinzip anzuwenden, um unnötige Berechtigungsvererbung zu verhindern
versteckte Abhängigkeiten zwischen Cloud-Services mit Tools wie Jenganizer aufzudecken
Logs regelmäßig auf verdächtige Zugriffsmuster zu überprüfen
Die Entdeckung von ConfusedComposer unterstreicht, wie wichtig es für Security-Teams ist, versteckte Cloud-Interaktionen zu identifizieren und konsequente Zugriffskontrollen zu implementieren. Angesichts immer komplexerer Cloud-Umgebungen müssen Security-Teams Schwachstellen antizipieren und beheben, bevor Angreifer sie ausnutzen können“, ergänzt Matan.
Hier finden Sie die vollständigen Forschungsergebnisse zu ConfusedComposer .
.jpg "Industrielle Schwachstellen frühzeitig erkennen")
