Se reveló una nueva vulnerabilidad de seguridad en el servicio Cloud SQL de Google Cloud Platform (GCP) que podría explotarse potencialmente para obtener acceso a datos confidenciales.
«La vulnerabilidad podría haber permitido que un actor malicioso pase de ser un usuario básico de Cloud SQL a un administrador de sistemas completo en un contenedor, obteniendo acceso a datos internos de GCP como secretos, archivos confidenciales, contraseñas, además de datos de clientes», dijo la compañía de seguridad Dig.
Cloud SQL es una solución completamente administrada para crear bases de datos MySQL, PostgreSQL y SQL Server para aplicaciones basadas en la nube.
La cadena de ataque de múltiples etapas identificada por Dig, en pocas palabras, aprovechó una brecha en la capa de seguridad de la plataforma en la nube asociada con SQL Server para escalar los privilegios de un usuario a un rol de administrador.
Posteriormente, los permisos elevados permitieron abusar de otra configuración errónea crítica para obtener derechos de administrador del sistema y tomar el control total de servidor de la base de datos.
A partir de ahí, un hacker podría acceder a todos los archivos alojados en el sistema operativo subyacente, enumerar archivos y extraer contraseñas, que después podrían actuar como una plataforma de lanzamiento para futuros ataques.
«Obtener acceso a datos internos como secretos, URL y contraseñas puede conducir a la exposición de los datos de los proveedores de la nube y los datos confidenciales de los clientes, lo que es un incidente de seguridad importante», dijeron los investigadores de Dig Ofir Balassiano y Ofir Shaty.
Después de la divulgación responsable en febrero de 2023, Google abordó el problema en abril de 2023.
La divulgación se produce cuando Google anunció la disponibilidad de su API de entorno de gestión automática de certificados (ACME) para que todos los usuarios de Google Cloud adquieran y renueven de forma automática los certificados TLS de forma gratuita.
