Google Cloud peut avoir des failles de sécurité préoccupantes qui pourraient permettre aux acteurs de la menace d’exfiltrer des données du stockage cloud (s’ouvre dans un nouvel onglet) plate-forme sans se faire repérer.
Les résultats sont une gracieuseté des chercheurs en cybersécurité Mitiga, qui ont constaté que les journaux de Google Cloud Platform (GCP), qui sont généralement utilisés pour identifier les attaques et comprendre ce que les acteurs de la menace ont pu réaliser, sont inférieurs à la normale, laissant beaucoup à désirer.
Dans leur état actuel, ils n’offrent pas le niveau de visibilité permettant « toute enquête médico-légale efficace », ont déclaré les chercheurs, concluant que les organisations utilisant GCP sont « aveugles » aux attaques potentielles d’exfiltration de données.
Aveuglé aux attaques
Cependant, Google n’a pas classé les résultats comme une vulnérabilité, donc aucun correctif n’a été publié – bien qu’il ait publié une liste d’atténuations que les utilisateurs peuvent déployer s’ils craignent que leur configuration actuelle ne présente des risques.
Par conséquent, les entreprises ne peuvent pas répondre efficacement aux incidents et n’ont aucun moyen de déterminer avec précision quelles données ont été volées lors d’une attaque.
Habituellement, un attaquant prendra le contrôle d’une entité de gestion des identités et des accès (IAM), lui accordera les autorisations requises et l’utilisera pour copier des données sensibles. Comme GCP ne fournit pas la transparence nécessaire concernant les autorisations accordées, les entreprises auront beaucoup de mal à surveiller l’accès aux données et le vol potentiel de données, ont conclu les chercheurs.
Bien que Google offre à ses clients la possibilité d’activer les journaux d’accès au stockage, la fonctionnalité est désactivée par défaut. En l’activant, les organisations pourraient mieux détecter et répondre aux attaques, mais l’utilisation de la fonctionnalité pourrait coûter plus cher. Même s’il est activé, le système est « insuffisant » et crée des « lacunes de visibilité médico-légale », ont ajouté les chercheurs, affirmant que le système choisit de regrouper « un large éventail d’activités potentielles d’accès aux fichiers et de lecture sous un seul type d’événement – ‘ Obtention d’objet.’”
C’est un problème car le même événement est utilisé pour lire un fichier, le télécharger ou même simplement lire les métadonnées du fichier.
En réponse aux conclusions de Mitiga, Google a déclaré qu’il appréciait les commentaires de Mitiga mais ne les considérait pas comme une vulnérabilité. Au lieu de cela, la société a fourni des recommandations d’atténuation, qui incluent l’utilisation de VPC Service Controls, des en-têtes de restriction d’organisation, ainsi qu’un accès restreint aux ressources de stockage.