Vulnerabilidad en Google Cloud Composer permite a atacantes escalar privilegios
Publicado enAmenazas

Vulnerabilidad en Google Cloud Composer permite a atacantes escalar privilegios

No hay comentarios

Vulnerabilidad “ConfusedComposer” en Google Cloud Composer: Riesgos y Mitigación

Un fallo crítico de escalamiento de privilegios, identificado como “ConfusedComposer”, fue descubierto en Google Cloud Composer, un servicio gestionado de orquestación de flujos de trabajo basado en Apache Airflow. Esta vulnerabilidad podría haber permitido a atacantes obtener permisos elevados sobre recursos sensibles dentro de entornos GCP (Google Cloud Platform), comprometiendo la seguridad de datos y servicios en la nube.

Detalles técnicos de la vulnerabilidad

El problema radica en una configuración incorrecta de las políticas de identidad y acceso (IAM) en Cloud Composer. Según los investigadores, el servicio asignaba automáticamente roles de IAM con permisos excesivos a ciertas cuentas de servicio, violando el principio de mínimo privilegio. Específicamente:

  • Las cuentas de servicio vinculadas a entornos de Composer recibían el rol roles/composer.worker de manera predeterminada.
  • Este rol incluía permisos como iam.serviceAccounts.actAs, que permite suplantar otras identidades.
  • Un atacante podía explotar esta configuración para realizar operaciones no autorizadas en otros servicios de GCP.

Impacto potencial

De haberse explotado, “ConfusedComposer” habría permitido:

  • Escalada lateral de privilegios: Moverse entre servicios dentro del mismo proyecto GCP.
  • Acceso a datos sensibles: Leer o modificar información en almacenamientos como Cloud Storage o BigQuery.
  • Ejecución remota de código: Desplegar funciones maliciosas mediante Cloud Functions o Compute Engine.

Medidas de mitigación implementadas

Google resolvió la vulnerabilidad mediante las siguientes acciones técnicas:

  • Revisión y ajuste de las políticas IAM predeterminadas en Cloud Composer.
  • Implementación de controles más estrictos para el rol composer.worker.
  • Notificación proactiva a clientes afectados mediante el programa de recompensas por errores (VRP).

Mejores prácticas para usuarios

Los administradores de GCP deben:

  • Verificar los permisos asignados a cuentas de servicio en proyectos existentes.
  • Aplicar el principio de mínimo privilegio al configurar roles personalizados.
  • Habilitar el registro de auditoría (Cloud Audit Logs) para monitorizar actividades sospechosas.
  • Actualizar a la última versión de Cloud Composer donde se corrigió el fallo.

Este caso subraya la importancia de revisiones periódicas de configuraciones IAM en entornos cloud. Fuente original

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta