Revelan el punto ciego de Google Cloud Platform para los ataques de exfiltración

Los actores maliciosos pueden aprovechar la visibilidad forense "insuficiente" en Google Cloud Platform (GCP) para filtrar datos confidenciales, según una nueva investigación.

"Desafortunadamente, GCP no proporciona el nivel de visibilidad en sus registros de almacenamiento que se necesita para permitir cualquier investigación forense efectiva, lo que hace que las organizaciones sean ciegas ante posibles ataques de exfiltración de datos", dijo la firma de respuesta a incidentes en la nube Mitiga en un informe.

El ataque se basa en el requisito previo de que el adversario pueda obtener el control de una entidad de gestión de identidad y acceso (IAM) en la organización objetivo mediante métodos como la ingeniería social para acceder al entorno de GCP.

El quid del problema es que los registros de acceso de almacenamiento de GCP no proporcionan la transparencia adecuada con respecto al posible acceso a archivos y eventos de lectura, sino que los agrupan todos como una sola actividad de "Obtención de objetos".

"El mismo evento se usa para una amplia variedad de tipos de acceso, que incluyen: leer un archivo, descargar un archivo, copiar un archivo a un servidor externo [y] leer los metadatos del archivo", dijo la investigadora de Mitiga Veronica Marinov.

Esta falta de distinción podría permitir a un atacante recopilar datos confidenciales sin ser detectado, principalmente porque no hay forma de diferenciar entre la actividad del usuario malicioso y legítimo.


En un ataque hipotético, un actor de amenazas puede usar la interfaz de línea de comandos de Google (gsutil) para transferir datos valiosos de los depósitos de almacenamiento de la organización víctima a un depósito de almacenamiento externo dentro de la organización atacante.

Desde entonces, Google ha proporcionado recomendaciones de mitigación, que van desde controles de servicio de nube privada virtual (VPC) hasta el uso de encabezados de restricción de la organización para limitar las solicitudes de recursos en la nube.

La revelación se produce cuando Sysdig descubrió una sofisticada campaña de ataque llamada SCARLETEEL que se dirige a entornos en contenedores para perpetrar el robo de datos y software propietarios.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta