Một lỗ hổng bảo mật chưa được vá ảnh hưởng đến nền tảng Compute Engine của Google có thể bị kẻ tấn công lợi dụng để chiếm các máy ảo qua mạng.
“Điều này được thực hiện bằng cách mạo danh máy chủ siêu dữ liệu từ quan điểm của máy ảo được nhắm mục tiêu”, nhà nghiên cứu bảo mật Imre Rad cho biết trong một phân tích xuất bản thứ sáu. “Bằng cách gắn kết khai thác này, kẻ tấn công có thể cấp quyền truy cập cho chính họ qua SSH (xác thực khóa công khai) để sau đó họ có thể đăng nhập với tư cách người dùng gốc.”
Google Compute Engine (GCE) là thành phần cơ sở hạ tầng dưới dạng dịch vụ (IaaS) của Google Cloud Platform cho phép người dùng tạo và khởi chạy máy ảo (VM) theo yêu cầu. GCE cung cấp một phương pháp để lưu trữ và truy xuất siêu dữ liệu ở dạng máy chủ siêu dữ liệu, cung cấp một điểm trung tâm để đặt siêu dữ liệu dưới dạng các cặp khóa-giá trị sau đó được cung cấp cho các máy ảo trong thời gian chạy.
Theo nhà nghiên cứu, vấn đề là do các số giả ngẫu nhiên yếu được sử dụng bởi máy khách ISC DHCP, dẫn đến tình huống trong đó đối thủ xử lý nhiều gói DHCP bằng cách sử dụng một tập hợp các số nhận dạng giao dịch được tính toán trước (hay còn gọi là XID) và làm ngập máy khách DHCP của nạn nhân, cuối cùng dẫn đến việc máy chủ siêu dữ liệu bị mạo danh.
Giao thức cấu hình máy chủ động (DHCP) là một giao thức quản lý mạng được sử dụng để tự động hóa quá trình cấu hình thiết bị trên mạng IP. Máy chủ DHCP tự động gán địa chỉ IP và các thông số cấu hình mạng khác cho từng thiết bị khách trên mạng để chúng có thể giao tiếp với các mạng khác.
“Nếu XID đúng, máy nạn nhân sẽ áp dụng cấu hình mạng”, Rad giải thích trong bài viết kỹ thuật. “Đây là một điều kiện của cuộc đua, nhưng vì lũ diễn ra nhanh và cạn kiệt, máy chủ siêu dữ liệu không có cơ hội thực sự để giành chiến thắng. Tại thời điểm này, kẻ tấn công đang ở vị trí cấu hình lại ngăn xếp mạng của nạn nhân.”
Cho rằng máy chủ siêu dữ liệu có thể được sử dụng để phân phối và quản lý khóa SSH, một máy khách – hiện đã thiết lập kết nối TCP với máy chủ giả mạo – có thể truy xuất khóa công khai SSH của kẻ tấn công, sau đó kẻ tấn công có thể sử dụng khóa này để mở trình bao từ xa với tư cách là người dùng gốc.
Trong một tình huống thực tế tiềm năng, chuỗi tấn công nói trên có thể bị kẻ thù lạm dụng để giành quyền truy cập đầy đủ vào một máy ảo được nhắm mục tiêu khi nó đang được khởi động lại hoặc qua internet trong trường hợp tường lửa của nền tảng đám mây bị tắt.
Google đã được thông báo về vấn đề này vào ngày 27 tháng 9 năm 2020, kể từ đó đã thừa nhận báo cáo, mô tả đây là một “thành tích tốt”, nhưng vẫn chưa tung ra bản vá hoặc cung cấp lịch trình về thời điểm có bản sửa lỗi .
“Cho đến khi có bản sửa lỗi, không sử dụng DHCP hoặc thiết lập quy tắc tường lửa cấp máy chủ để đảm bảo giao tiếp DHCP đến từ máy chủ siêu dữ liệu (169.254.169.254)”, Rad lưu ý. “Chặn UDP / 68 giữa các máy ảo để chỉ máy chủ siêu dữ liệu mới có thể thực hiện DHCP.”
Đây không phải là lần đầu tiên Rad xác định các vấn đề trong Nền tảng đám mây của Google.
Vào tháng 9 năm 2020, Google đã khắc phục một leo thang đặc quyền địa phương lỗ hổng trong Công cụ cấu hình hệ điều hành có thể bị khai thác bởi một tác nhân có quyền thực thi mã trên các máy ảo GCE bị ảnh hưởng để thực hiện các hoạt động trái phép.
Sau đó vào đầu tháng Giêng này, Rad cũng nhận thấy rằng có thể đạt được sự thực thi mã tùy ý trong một máy ảo bằng cách lấy một trình bao trên dịch vụ cơ sở dữ liệu Cloud SQL. Vấn đề đã được Google giải quyết vào ngày 16 tháng 2 năm 2021.
