Les attaquants peuvent exfiltrer les données de l’entreprise stockées dans Google Cloud Platform (GCP) des compartiments de stockage sans laisser de traces médico-légales évidentes de l’activité malveillante dans les journaux d’accès au stockage de GCP, ont découvert les chercheurs de Mitiga.
Attaque d’exfiltration de données GCP (Source : Mitiga)
Exfiltration secrète de données à partir de buckets GCP
En bref, le principal problème est que les journaux de stockage de base de GCP – qui ne sont d’ailleurs pas activés par défaut – utilisent la même description/événement (objects.get) pour différents types de accès, par exemple : lecture d’un fichier, téléchargement d’un fichier, copie d’un fichier sur un compartiment/des serveurs externes et lecture des métadonnées du fichier/de l’objet.
« Dans une utilisation normale, les fichiers (ou objets) à l’intérieur des objets de stockage sont lus plusieurs fois par jour dans le cadre de l’activité quotidienne de l’organisation », Veronica Marinov, intervenante en cas d’incident cloud Mitiga noté.
« Cela pourrait facilement entraîner des milliers ou des millions d’événements de lecture. Ne pas être en mesure d’identifier des modèles d’attaque spécifiques tels que le téléchargement ou la copie vers un compartiment externe, rend extrêmement difficile pour les organisations de déterminer si et quelles informations ont été volées. »
Elle a également détaillé un exemple d’attaque possible, qui consiste à ce que l’auteur de la menace prenne le contrôle du compte utilisateur GCP d’un employé appartenant à l’organisation ciblée, puis accorde à ce compte l’autorisation de copier des données dans l’organisation GCP de l’auteur de la menace en saisissant un simple commande dans la ligne de commande de Google.
Étapes d’atténuation des problèmes et de chasse aux menaces
Mitiga et l’équipe de sécurité de Google ne considèrent pas cela comme une vulnérabilité, mais comme une « défaillance de sécurité ».
« Après avoir contacté l’équipe de sécurité de Google et travaillé avec eux sur ce problème, nous avons compilé ensemble une liste d’étapes pouvant être suivies pour atténuer et détecter cette attaque », a ajouté Marinov.
Ces étapes incluent la définition (via VPC Service Controls) d’un périmètre de service autour des ressources des services gérés par Google pour contrôler la communication vers et entre ces services et l’utilisation d’en-têtes de restriction d’organisation pour limiter les demandes de ressources cloud effectuées à partir de leurs environnements.
« Si ni VPC Service Controls ni les en-têtes de restriction d’organisation ne sont activés, nous suggérons de rechercher les anomalies suivantes : anomalies dans les heures des événements Get/List, anomalies dans l’entité IAM exécutant les événements Get/List, anomalies dans le Adresse IP d’où proviennent les requêtes Get/List et anomalies dans le volume d’événements Get/List sur de brèves périodes de temps provenant d’une seule entité. »
Enfin, les administrateurs peuvent également restreindre l’accès aux ressources de stockage et envisager de supprimer les autorisations de lecture/transfert.
On ne sait pas pourquoi Google a choisi de ne pas différencier les différents types d’accès dans les journaux lorsque (par exemple) AWS le fait.
Toute l’actualité en temps réel, est sur L’Entrepreneur
