La découverte récente d'une vulnérabilité d'exécution de code à distance (RCE) dans Google Cloud Platform (GCP) a suscité de nouvelles inquiétudes concernant la sécurité du cloud. Connue sous le nom de « CloudImposer », la vulnérabilité a été révélée par Tenable Research et aurait pu permettre à des attaquants malveillants de compromettre des millions de serveurs à l'aide du service Cloud Composer de GCP. Google a depuis corrigé le problème.

Découverte d'une vulnérabilité de Google Cloud Platform

Début août 2024, Tenable Research a identifié la vulnérabilité de Google Cloud Platform, baptisée CloudImposer. Elle a été présentée lors de la conférence Black Hat USA à Las Vegas. CloudImposer aurait pu exposer les clients utilisant les services GCP, notamment App Engine, Cloud Functions et Cloud Composer, à des attaques de chaîne d'approvisionnement à grande échelle.

La vulnérabilité résultait d'une faille dans le processus d'installation de certains logiciels utilisés au sein de l'infrastructure de Google. Des attaquants auraient pu en profiter pour exécuter du code malveillant sur les serveurs de Google et potentiellement sur ceux de ses clients.

Les attaques de la chaîne logistique basées sur le cloud, comme la vulnérabilité de Google Cloud Platform, peuvent causer des dommages considérables en raison de l'ampleur des environnements cloud. Contrairement aux attaques traditionnelles de la chaîne logistique qui ciblent des systèmes individuels, les attaques basées sur le cloud peuvent infecter des millions d'utilisateurs et de systèmes simultanément. Dans le cas de CloudImposer, un package compromis dans Cloud Composer de Google aurait pu avoir des conséquences catastrophiques pour Google et ses utilisateurs.

La découverte de la vulnérabilité CloudImposer a également révélé des pratiques de documentation inquiétantes au sein de GCP. Les chercheurs de Tenable ont découvert que Google recommandait d’utiliser une commande Python appelée « –extra-index-url », qui peut ouvrir la porte à des attaques par confusion de dépendances. Ces attaques se produisent lorsque des attaquants insèrent des packages logiciels malveillants dans un registre public, incitant les systèmes à installer le mauvais package.

Réponse de Google et modifications de la documentation

Après avoir découvert la vulnérabilité, Tenable l'a signalée de manière responsable à Google, qui a réagi rapidement. Le géant de la technologie a classé la vulnérabilité comme une exécution de code à distance (RCE) et a immédiatement pris des mesures pour résoudre le problème. La documentation conseille désormais aux utilisateurs d'utiliser une commande plus sûre pour atténuer le risque de confusion de dépendance.

Les attaques de la chaîne logistique cloud, comme celle rendue possible par CloudImposer, sont plus graves que les attaques traditionnelles sur site. L'ampleur des services cloud signifie qu'un seul package compromis peut être déployé sur des millions de serveurs et d'utilisateurs simultanément.

Les conséquences potentielles de la vulnérabilité de Google Cloud Platform soulignent la nécessité croissante de faire preuve de vigilance en matière de sécurisation des services basés sur le cloud. Les fournisseurs de cloud comme les clients doivent adopter des pratiques de sécurité responsables pour minimiser ces risques. Cette découverte souligne à quel point il est essentiel pour les utilisateurs du cloud de gérer soigneusement leurs dépendances logicielles.

La confusion des dépendances est un problème connu depuis des années. Le cas de CloudImposer montre que de nombreuses organisations ne savent toujours pas comment prévenir ces attaques. GCP et Python ont tous deux mis à jour leur documentation logicielle. Cependant, la confusion des dépendances reste un défi majeur pour la sécurité du cloud.

Les attaquants exploitent les failles des systèmes de gestion des paquets, en incitant les systèmes à télécharger des paquets malveillants. Malgré les mises à jour, de nombreuses entreprises ont encore du mal à détecter et à arrêter ces menaces. Pour éviter toute confusion liée aux dépendances, les organisations ont besoin de contrôles plus stricts et d'une surveillance constante. La sécurité du cloud dépend de la vigilance face à ces risques en constante évolution.

A lire également