Google corrige error de GCP Composer que permitía ejecución remota de código

Una vulnerabilidad crítica en Google Cloud Platform (GCP) Composer, ya parcheada, pudo haber sido explotada para la ejecución remota de código mediante un ataque de confusión de dependencias, una técnica de la cadena de suministro. Conocida como CloudImposer, esta falla fue identificada por Tenable Research.

Según Liv Matan, investigadora de seguridad, la falla permitía a un atacante secuestrar una dependencia de software preinstalada por Google en las herramientas de Google Cloud Composer. El ataque, denominado confusión de dependencias, fue documentado por primera vez en 2021 por Alex Birsan. Consiste en engañar a un administrador de paquetes para que descargue un paquete malicioso de un repositorio público en lugar del repositorio interno legítimo.

El problema descubierto por Tenable implicaba subir un paquete malicioso a Python Package Index (PyPI), que podría instalarse en instancias de Composer con permisos elevados. Aunque Composer ancla los paquetes a versiones específicas, Tenable demostró que el argumento "--extra-index-url" en "pip install" podría priorizar el paquete público, facilitando el ataque.

Tras la divulgación en enero de 2024, Google corrigió la vulnerabilidad en mayo de 2024, asegurando que los paquetes solo se instalen desde repositorios privados y añadiendo una verificación de integridad del paquete.

PyPA también ha advertido sobre los riesgos del argumento "--extra-index-url" desde 2018, recomendando evitar el uso de PyPI en ciertas circunstancias. Como parte de su solución, Google recomienda ahora usar el argumento "--index-url" y emplear Artifact Registry para gestionar repositorios múltiples, reduciendo así el riesgo de confusión de dependencias.

El ataque de confusión de dependencias es particularmente peligroso en entornos como GCP, donde el uso de dependencias preinstaladas es común. Publicar un paquete malicioso con el mismo nombre y una versión más alta en un repositorio público engaña al administrador de paquetes para descargar el código malicioso. Esto no solo permite la ejecución remota de código, sino también la filtración de credenciales y movimientos laterales dentro del entorno de la víctima.

El parche aplicado por Google en Google Cloud Composer refuerza la seguridad al asegurarse de que los paquetes sean descargados exclusivamente desde repositorios privados y que se verifiquen sus sumas de comprobación para garantizar que no han sido alterados. Además, Google recomienda a los desarrolladores de GCP seguir las mejores prácticas de seguridad, como usar el argumento "--index-url" para evitar la confusión de dependencias y emplear un repositorio virtual en Artifact Registry para gestionar múltiples fuentes de dependencias.

La Autoridad de Empaquetado de Python (PyPA), consciente de los riesgos que plantea el argumento "--extra-index-url", ha instado a los desarrolladores desde 2018 a ser cautelosos al gestionar dependencias internas y evitar su uso en combinación con PyPI en escenarios donde los paquetes internos pueden estar en riesgo.

Google Cloud Composer sigue siendo una herramienta crítica para la orquestación de flujos de trabajo en la nube, y la actualización de seguridad que mitiga esta vulnerabilidad refuerza aún más su fiabilidad en entornos de producción. Las empresas que usan GCP deben revisar sus políticas de seguridad para asegurarse de que están utilizando los repositorios y configuraciones recomendadas por Google para prevenir futuros ataques de este tipo.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta