В Google Compute Engine нашли уязвимость. Google не спешит её закрывать

Разработчик и исследователь безопасности Имре Рад (Imdre Rad) 25 июня опубликовал на GitHub предупреждение о непропатченной уязвимости, которая затрагивает виртуальные машины на платформе Google Compute Engine.

У других облачных сервисов такой проблемы нет. В частности, потому что они не используют DHCP по умолчанию.   

Уязвимость

Он считает, что злоумышленники могли и до сих пор могут захватывать виртуальные машины из-за слабой генерации случайных чисел, которые используются в ISC DHCP. 

Эксплойт якобы позволяет выдавать себя за сервер метаданных. Злоумышленник может предоставить себе доступ по SSH, чтобы войти в систему как пользователь root.

Сценарии атак

Исследователь выделил 3 сценария атак:

1. Атака на виртуальную машину в той же подсети во время перезагрузки.
2. Атака на виртуальную машину в той же подсети, пока она обновляет аренду.
3. Атака на виртуальную машину через интернет.

Для каждого сценария он приводит доказательства.

Реакция Google

Коммуникация между исследователем и корпорацией не задалась. Google присылает стандартные отписки, сообщает Имре Рад. Он предполагает, что существует какая-то техническая сложность, которая не позволяет компании легко развернуть меры защиты на уровне сети. 

Уязвимость исследователь обнаружил 26 сентября 2020 года. Он не дождался исправлений от Google и выложил информацию об уязвимостях в открытый доступ 25 июня 2021 года.

Видимо, Google конкретно эта уязвимость не кажется очень опасной. В этом случае, вероятно, усилия, необходимые для исправления, перевешивают риск.

Как защититься

Вот, что советует исследователь Имре Рад, чтобы защитить свои виртуальные машины:

• Не использовать сервер метаданных через это виртуальное имя хоста: metadata.google.internal.
• Не управлять виртуальным именем хоста через DHCP.
• Защитить связь с сервером метаданных с помощью TLS.

Ваше мнение: насколько описанная уязвимость опасна и почему Google не спешит исправлять её?

Источник: GitHub