Una vulnerabilidad de escalada de privilegio clave en Google Cloud Platform (GCP), conocida como el “confundido compositor”, podría haber permitido que un atacante obtenga privilegios elevados a recursos de nube sensibles.
La vulnerabilidad parcheada permite atacantes mínimamente privilegiados, que potencialmente controlan cuentas de servicio altamente privilegiadas, proporcionando una ruta hacia un amplio acceso en todo el proyecto.
La vulnerabilidad existía en Google Cloud Composer, un servicio de orquestación de flujo de trabajo totalmente administrado basado en Apache Airflow para la programación y automatización de la tubería de datos.
Vulnerabilidad de escalada de privilegios de compositor de GCP
Este defecto se atribuye a la forma en que el compositor de nubes interactúa con Google Cloud Build, un servicio continuo de integración y distribución para GCP.
La capacidad del compositor de la nube para instalar paquetes PYPI personalizados en su entorno estaba en el corazón de la vulnerabilidad.
Cuando un usuario especifica un paquete PYPI personalizado, el compositor de la nube comienza un proceso de compilación detrás de escena en el que la cuenta de servicio del compositor de nubes provocó automáticamente una instancia de compilación en la nube en el proyecto del usuario.
“Los atacantes con permiso para actualizar el compositor. Los ambientes podrían haber abusado del proceso de orquestación del servicio de compositor de la nube y aumentar sus privilegios”, explicó el investigador tenable que compartió con Cyber Security News.
La metodología de ataque implica inyectar paquetes PYPI maliciosos en la configuración de paquete personalizada del compositor de la víctima.
Compositor
Ruta de explotación técnica
Esta explotación se basó en cómo el instalador de paquetes de Python PIP realizó automáticamente scripts de instalación previos al paquete y posterior al paquete.
Los investigadores han demostrado que los atacantes pueden ejecutar código arbitrario dentro de un entorno de construcción de nubes a través de estos scripts de instalación, a pesar de no tener control directo sobre la cuenta de servicio subyacente del compositor.
Se produjo una escalada de privilegios cuando el código inyectado accede a la API de metadatos de la construcción de la nube y extrae el token de la cuenta de servicio.
Las instancias de compilación se ejecutan en cuentas de servicio de construcción de nube predeterminadas con amplios permisos para almacenamiento en la nube, registro de artefactos, registros de contenedores y otros servicios, lo que permite a los atacantes obtener privilegios crecientes en todo el proyecto GCP de la víctima.
Google corrigió la vulnerabilidad al cambiar la forma en que el compositor de nubes maneja las instalaciones del módulo PYPI.
“Después de implementar la solución, el compositor dejará de usar la cuenta de servicio de compilación en la nube y, en su lugar, usará la cuenta de servicio de entorno de compositor para realizar la instalación del módulo PYPI”, dijeron los investigadores.
Esta solución se implementó en nuevas instancias compositor en las que se programan las instancias existentes programadas para recibir actualizaciones en abril de 2025.
Además, para mejorar la conciencia de seguridad, Google ha actualizado la documentación del compositor sobre el control de acceso, la instalación de dependencias de Python y el acceso a AirflowCli.
Esta vulnerabilidad se clasifica como una clase de ataque “Genga” basada en otro privilegio de GCP y vulnerabilidad de escalada descubierta el año pasado, conocida como una “función confusa”.
Estas vulnerabilidades explotan los conceptos erróneos del proveedor de la nube relacionados con los permisos de servicio y los servicios de interconexión de abuso que los proveedores de la nube implementan automáticamente como parte de su proceso de orquestación de servicios.
Este hallazgo destaca la creciente complejidad de la seguridad en la nube y la importancia de configurar adecuadamente los permisos de cuenta de servicio en un entorno de la nube, particularmente cuando se trata de tuberías de automatización que pueden incluir múltiples servicios interconectados.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
