Forscher warnen vor Sicherheitslücke bei Google: Wer jetzt dringend handeln sollte

Sicherheitsexperten haben eine kritische Schwachstelle in der Google Cloud Platform aufgedeckt. Kunden sollten schnell handeln, um ihre Daten zu schützen.

Forscher der Firma Tenable haben eine Sicherheitslücke in den Cloud Functions der Google Cloud Platform (GCP) entdeckt. Laut "Security Insider" kann diese Schwachstelle, bekannt als "ConfusedFunction", von Angreifern ausgenutzt werden, um Systemrechte zu erlangen. Die Gefahr besteht in Verbindung mit dem Cloud Build CI/CD-Dienst, der zur Verwaltung der Cloud Functions benutzt wird.

Beim Erstellen oder Aktualisieren von Cloud Functions wird automatisch eine Cloud Build-Instanz erstellt, die mit einem Standard-Servicekonto verknüpft ist. Dieser Service-Account verfügt über weitreichende Berechtigungen. Ein Angreifer kann diese Berechtigungen missbrauchen, um auf andere GCP-Dienste zuzugreifen.

Sicherheitslücke in Google Cloud Plattform: Kunden sollten jetzt handeln

Ein Google Cloud Logo auf einem Smartphone
Ein Google Cloud Logo auf einem Smartphone

Die ConfusedFunction-Schwachstelle ist besonders gefährlich, da der gesamte Prozess im Hintergrund abläuft. Angreifer könnten während der Bereitstellung schädliche Pakete einschleusen und Zugriffstoken an externe Server senden. Google hat inzwischen zusätzliche Sicherheitsmaßnahmen eingeführt, darunter die Möglichkeit, benutzerdefinierte Servicekonten für Cloud Build-Instanzen zu verwenden.

GCP-Kunden sollten alte Cloud Build-Servicekonten durch Konten mit minimalen Rechten ersetzen. Zwar hat GCP bereits Sicherheitsmaßnahmen für neue Deployments eingeführt, doch bestehende Instanzen bleiben gefährdet. Zudem sollten Kunden ihre IAM-Richtlinien überprüfen und gegebenenfalls anpassen, um das Risiko zu minimieren.

Andere Leser interessiert auch:


Dieser Artikel kann Partnerlinks enthalten, von denen Yahoo und/oder der Herausgeber möglicherweise eine Provision erhält, wenn Sie über diese Links ein Produkt oder eine Dienstleistung erwerben.