Los investigadores de seguridad cibernética han detallado una vulnerabilidad ahora parada en Google Cloud Platform (GCP) que podría tener permitido a un atacante elevar sus privilegios en el servicio de orquestación de flujo de trabajo del compositor de nubes que se pedestal en Apache Airflow.
“Esta vulnerabilidad permite a los atacantes con permisos de publicación en la nimbo compositor para medrar su acercamiento a la cuenta de servicio de compilación de nubes predeterminada, que tiene permisos de parada nivel en los servicios de GCP como la construcción de la nimbo en sí misma, el almacenamiento en la nimbo y el registro de artefactos”, dijo Liv Matan, investigador de seguridad senior de Tenable, en un mensaje compartido con Hacker News.
La deficiencia ha sido nombrada en código confundido por la compañía de seguridad cibernética, describiéndola como una transformación de la función confundida, una vulnerabilidad de ascensión privilegiada que impacta el servicio de funciones en la nimbo de GCP que un atacante podría explotar para lograr a otros servicios y datos confidenciales de una modo no autorizada.
La divulgación se produce semanas luego de que Tenable detalló otra vulnerabilidad de ascensión de privilegios en la ejecución de la nimbo GCP Doblada Imagerunner que podría tener permitido que un actor ladino acceda a imágenes de contenedores e incluso inyecte un código ladino, creando mercadería en cascada.
Al igual que Imagerunner, ConfusedComposer es otro ejemplo del concepto de Jenga, que hace que los problemas de seguridad se hereden de un servicio al otro cuando los proveedores de servicios en la nimbo crean nuevos servicios existentes.
El exploit depende del atacante que tenga permiso para editar un entorno de compositor de nubes (es opinar, composer.environments.update), que podría explotarse para inyectar un paquete de Índice de paquetes de Python (PYPI) ladino que es capaz de aumentar los privilegios a través de la construcción de la nimbo.
El ataque es posible adecuado al hecho de que el compositor de nubes permite a los usuarios instalar paquetes PYPI personalizados en sus entornos, lo que permite que un adversario ejecute código despótico internamente de la instancia de compilación de la nimbo asociada utilizando scripts de instalación internamente de su paquete ladino.
“El compositor confundido es importante porque expone cómo las interacciones detrás de espectáculo entre los servicios en la nimbo pueden explotarse a través de la ascensión de privilegios”, explicó Matan. “En este caso, un atacante solo necesita permiso para poner al día un entorno de compositor en la nimbo para obtener acercamiento a servicios críticos de GCP como almacenamiento en la nimbo y registro de artefactos”.
La explotación exitosa de la falta podría permitir que un atacante desvíe los datos confidenciales, interrumpir los servicios e implementar el código ladino internamente de las tuberías de CI/CD. Encima, podría allanar el camino para el despliegue de puertas traseras que pueden otorgar acercamiento persistente a entornos de nimbo comprometidos.
Posteriormente de la divulgación responsable de Tenable, Google ha abordado la vulnerabilidad al 13 de abril de 2025, eliminando el uso de la cuenta de servicio de compilación en la nimbo para instalar paquetes PYPI.
“La cuenta de servicio del entorno se utilizará en su oportunidad”, dijo Google en un anuncio el 15 de enero de 2025. “Los entornos existentes de compositor de nubes 2 que utilizaron anteriormente la cuenta de servicio de compilación en la nimbo predeterminada cambiará a usar la cuenta de servicio del entorno en su oportunidad”.
“Los entornos Cloud Composer 2 creados en las versiones 2.10.2 y más tarde ya tienen este cambio. Los entornos Cloud Composer 3 ya usan la cuenta de servicio del entorno y no se ven afectados por este cambio”.
La divulgación se produce cuando Varonis Amenazing Labs descubrió una vulnerabilidad en Microsoft Azure que podría tener permitido a un actor de amenaza con acercamiento privilegiado a un servidor Azure SQL para alterar las configuraciones de una modo que causa pérdida de datos en la influencia de filial. Microsoft ha remediado completamente el problema al 9 de abril de 2025, luego de que se dio cuenta el 5 de agosto de 2024.
La vulnerabilidad de inyección de parámetros de URL almacenado destructivo, dijo la compañía, se deriva de la descuido de obstáculo de carácter para las reglas de firewall de servidor creadas usando Transact-SQL (T-SQL).
“Al manipular el nombre de las reglas de firewall a nivel de servidor a través de T-SQL, un actor de amenaza con acercamiento privilegiado a un servidor Azure SQL puede inyectar un implante que, basado en acciones específicas del agraciado, elimina los fortuna de Azure arbitrarios que el agraciado tiene permisos para” “, dijo el investigador de seguridad Coby Abrams.
“El impacto de un actor de amenaza que explota esta vulnerabilidad podría ser la pérdida de datos a gran escalera en la cuenta de Azure afectado”.
Incluso se produce cuando los laboratorios de seguridad de Datadog arrojan luz sobre un error en Microsoft Entra ID restringieron unidades administrativas que podrían permitir que un atacante evite que los usuarios seleccionados sean modificados, eliminados o discapacitados, incluso por un administrador total.
“Un atacante privilegiado podría tener usado este error para proteger una cuenta bajo su control, evitando la contención por parte de cualquier administrador de ID”, dijo la investigadora de seguridad Katie Knowles. Esto incluyó varias tareas, como restablecer las contraseñas, revocar las sesiones de agraciado, eliminar a los usuarios y borrar los métodos de autenticación multifactor (MFA) de los usuarios.
Desde entonces, el problema ha sido solucionado por el fabricante de Windows a partir del 22 de febrero de 2025, luego de la divulgación responsable el 19 de agosto de 2024.
En las últimas semanas, se ha opuesto que los actores de amenazas capacitan sus lugares en los sitios web alojados en las instancias de la nimbo de compute elástica de Amazon Web Services (AWS) (EC2) explotando vulnerabilidades de falsificación del costado del servidor (SSRF) para extraer información de metadatos.
“Los metadatos de instancia de EC2 son una característica proporcionada por AWS que permite que una instancia de EC2 acceda a la información necesaria en el tiempo de ejecución sin penuria de autenticar o hacer llamadas de API externas”, dijo el investigador de F5 Labs Merlyn Albery-Speyer. “Puede exponer información como la dirección IP pública o privada, ID de instancia y credenciales de roles de IAM. Gran parte de esto son datos confidenciales de interés para los atacantes”.
