Cacat Parah pada Layanan Cloud SQL Google Cloud Mengungkap Data Rahasia
26 Mei 2023Ravie LakshmananKeamanan Data / Keamanan Cloud
Kelemahan keamanan baru telah terungkap di layanan Cloud SQL Google Cloud Platform (GCP) yang berpotensi dieksploitasi untuk mendapatkan akses ke data rahasia.
“Kerentanan ini dapat memungkinkan aktor jahat untuk berpindah dari pengguna Cloud SQL dasar menjadi sysadmin lengkap di sebuah container, mendapatkan akses ke data internal GCP seperti rahasia, file sensitif, kata sandi, selain data pelanggan,” cloud Israel kata perusahaan keamanan Dig.
Cloud SQL adalah solusi terkelola sepenuhnya untuk membangun database MySQL, PostgreSQL, dan SQL Server untuk aplikasi berbasis cloud.
Singkatnya, rantai serangan multi-tahap yang diidentifikasi oleh Dig memanfaatkan celah di lapisan keamanan platform cloud yang terkait dengan SQL Server untuk meningkatkan hak istimewa pengguna menjadi peran administrator.
Izin yang ditingkatkan kemudian memungkinkan penyalahgunaan kesalahan konfigurasi kritis lainnya untuk mendapatkan hak administrator sistem dan mengambil kendali penuh atas server database.
Dari sana, pelaku ancaman dapat mengakses semua file yang dihosting di sistem operasi yang mendasarinya, menghitung file, dan mengekstrak kata sandi, yang kemudian dapat bertindak sebagai landasan untuk serangan lebih lanjut.
“Mendapatkan akses ke data internal seperti rahasia, URL, dan kata sandi dapat menyebabkan terpaparnya data penyedia cloud dan data sensitif pelanggan yang merupakan insiden keamanan besar,” kata peneliti Dig Ofir Balassiano dan Ofir Shaty.
Setelah pengungkapan yang bertanggung jawab pada bulan Februari 2023, masalah ini telah ditangani oleh Google pada bulan April 2023.
Pengungkapan ini dilakukan saat Google mengumumkan ketersediaan API Lingkungan Manajemen Sertifikat Otomatis (ACME) bagi semua pengguna Google Cloud untuk memperoleh dan memperbarui sertifikat TLS secara gratis secara otomatis.
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
