Les pirates éthiques ont gagné plus de 300 000 $ après avoir découvert diverses failles dans Google Cloud Platform (GCP).

Les sept principales vulnérabilités divulguées de manière responsable qui se sont qualifiées dans le cadre du programme de récompenses pour les vulnérabilités (VRP) de GCP l’année dernière ramassé un total de 313 337 $le gagnant remportant 133 337 $.

Google a déclaré que le GCP VRP – qui a débuté en 2019 – montre que de nombreux chercheurs en sécurité talentueux s’impliquent dans l’amélioration de la sécurité du cloud en découvrant des vulnérabilités qui, autrement, n’auraient peut-être pas été détectées.

Le montant accordé représente une fraction importante des 8,7 millions de dollars accordés par Google dans le cadre de sa gamme complète de programmes de divulgation des vulnérabilités.

Je suis IAP, j’espère que vous êtes API aussi

Le premier prix et une récompense de 133 337 $ ont été décernés au chercheur en sécurité Sebastian Lutz pour avoir découvert un bogue dans Identity-Aware Proxy (IAP) qui offrait à un attaquant un moyen d’accéder à des ressources protégées par IAP.

La faille signifiait que si un attaquant trompait une victime potentielle pour qu’elle visite une URL sous son contrôle, elle serait en mesure de voler son jeton d’authentification IAP, comme expliqué plus en détail dans un article de blog technique.

Ne calcule pas

Le chercheur hongrois Imre Rad a remporté un deuxième prix de 73 331 $ après avoir découvert un mécanisme pour prendre en charge une machine virtuelle Google Compute Engine.

Le piratage reposait sur l’envoi de paquets DHCP (Dynamic Host Configuration Protocol) malveillants à la machine virtuelle afin d’usurper le serveur de métadonnées Google Compute Engine.

Comme expliqué dans un rédaction technique par Rad sur Githubla faille et les attaques associées ont été signalées pour la première fois à Google en septembre 2020.

Un processus de divulgation prolongé a suivi, et ce n’est qu’après que Rad a rendu publiques ses conclusions en juin 2021 que Google a résolu le problème un mois plus tard.

Aller avec le flux de données

La troisième place dans l’édition 2021 des enjeux GCP VRP – ainsi qu’un prix de 73 331 $ – a été décernée au chercheur en sécurité Mike Brancato pour la découverte et la divulgation d’une vulnérabilité d’exécution de code à distance (RCE) dans Google Cloud Dataflow.

Brancato a découvert que les nœuds Dataflow exposaient un port JMX Java non authentifié, une faille de sécurité qui permettait d’exécuter des recommandations arbitraires sur la machine virtuelle, comme expliqué dans un article de blog technique.

L’impact de la vulnérabilité dépend du compte de service attribué aux nœuds de travail Dataflow, a déclaré Brancato.

Le chercheur a expliqué : « Par défaut, il s’agit du compte de service par défaut de Google Compute Engine, auquel le rôle d’éditeur à l’échelle du projet est attribué. Le rôle d’éditeur dispose de nombreuses autorisations pour créer et détruire des ressources. Il fait partie des « rôles de base » que Google ne recommande pas d’utiliser, car ils fournissent des autorisations étendues. »

Ils ont ajouté : « La vulnérabilité est facilement exploitable avec des outils existants comme Metasploit », à condition qu’un attaquant identifie un port de pare-feu ouvert qui a exposé un système vulnérable à une attaque potentielle.

Le chercheur en sécurité travaille dans le domaine de la sécurité du cloud depuis 2017 et la chasse aux bug bounty est devenue une extension naturelle de leur travail régulier.

« Dans le cadre de mon exposition aux API cloud et de mon expérience, j’ai commencé à identifier les systèmes qui semblent intéressants et peuvent être vulnérables aux attaques », a conclu Brancato.

a également invité Lutz et Rad à commenter leurs recherches respectives, ainsi qu’à demander à Google comment il aimerait améliorer les éléments axés sur le cloud de son programme de primes de bogues.