2024-09-17 20:15:00 英文原文
Google 中过于宽松的设置Cloud 的文档 AI 服务可能会被数据窃贼滥用,侵入 Cloud Storage 存储桶并窃取敏感信息。
威胁检测和响应公司 Vectra AI 及其首席安全研究员 Kat Traxler 表示,这一点表示:尽管最终收到了谷歌针对这一发现的错误赏金,但这家云巨头尚未修复错误配置,这意味着这个攻击媒介仍然是开放的。
整个漏洞报告过程有点混乱。Traxler 在 4 月初报告了该缺陷,但谷歌最初确定该文档“不足以”为该发现支付赏金。后来,他们改变了方针,奖励了 bug 猎人 3133.70 美元的报告,并将状态标记为“已修复”,而 Traxler 认为这仍然是一个问题。
Google 没有立即回复 The Register 的询问。
当被问及该问题在现实世界攻击中被滥用的可能性时,Traxler 告诉 The Register,“攻击者的技术已经达到了他们需要的水平。”
“如果一个环境不成熟,可以广泛访问常见且容易发现的数据,利用文档人工智能中的这一缺陷是没有必要的,”她说。“然而,在更严格遵守最低权限的强化环境中,利用文档 AI 服务来窃取数据既符合攻击者的动机,也可能是实现目标的最简单途径。”
Traxler 详细介绍了这一点周一发布的研究中的攻击与概念验证 (POC) 一起展示了她如何绕过 Document AI 的访问控制、从源 Google Cloud Storage 存储桶中窃取 PDF、更改文件然后将其返回。
这个问题存在于 Document AI 中,这是一项 Google Cloud 服务,它使用机器学习从文档中提取信息,旨在让企业更轻松、更快速地分析和处理大量文档。客户可以使用预先训练的模型或创建自己的模型,并且可以通过标准(在线)作业或批量(离线)处理来处理存储在 Google Cloud Storage 中的文档。
在批处理过程中,该服务使用 Google 管理的服务帐户(称为服务代理)。它被用作批处理中的身份,并摄取数据并输出结果。
据 Traxler 称,这就是问题所在。预设的服务代理权限太宽泛,在批处理模式下,服务使用服务代理的权限,而不是调用者的权限。
授予服务代理的权限允许其访问任何 Google同一项目中的 Cloud Storage 存储桶,从而允许该服务移动用户通常无法访问的数据。
“这种功能使恶意行为者能够将数据从 GCS 泄露到任意云存储存储桶,绕过访问控制并泄露敏感信息,”Traxler 写道。“利用服务(及其身份)泄露数据构成传递访问滥用,绕过预期的访问控制并损害数据机密性。”
Traxler 于 4 月 4 日向 Google 漏洞奖励计划报告了数据泄露问题。经过一些反复(所有这些都在 Vectra 文章中详细说明),VPR 最终于 5 月 7 日确定“此问题的安全影响不符合经济奖励的标准”。相反,Traxler 获得了荣誉奖。
6 月 7 日,Google 将错误状态更改为“已修复”。同月,Traxler 对这一发现提出异议,然后在 7 月初,向 Google 发送了一份 POC,并附有以下消息:
需要强调的一点是,负责人可以处理(或批量处理)使用 Document AI 处理)文档不需要具有存储权限即可访问 Cloud Storage 中的数据并移动到另一个位置(数据渗漏)[。]这是由于分配给 Document AI P4SA (roles/documentaicore.serviceAgent) 的权限而实现的)。我建议为 Document AI 分配一个用户管理服务帐户来进行数据处理,类似于 Cloud Workflows。允许 P4SA 移动用户定义的数据不是正确的模式,并且会导致数据泄露漏洞。请更改此问题的状态以表明该问题尚未得到解决。公开披露将在 2024 年 9 月的一次备受瞩目的活动中进行。
7 月晚些时候,Traxler 提醒错误赏金团队,她将在 fwd:cloudsec Europe 2024 上展示 Document AI 的数据窃取风险今天发生了,并在 8 月份再次建议更改状态,因为她坚称问题仍未解决。
9 月 9 日,Traxler 收到消息称 VRP 确实决定向她发放 3133.70 美元的奖励
“恭喜!这一决定的理由:正常的 Google 应用程序。漏洞类别是‘绕过重要安全控制’和其他数据/系统”,根据 Vectra 中发布的时间表。“我们应用了降级,因为攻击者需要访问受影响受害者的项目。”
The Register 再次联系了 Google,了解他们的说法,并希望能够包括在内很快评论。