Keamanan cyber (terbuka di tab baru) peneliti Imre Rad telah mengungkapkan potensi kerentanan yang dapat dieksploitasi untuk mendapatkan akses root ke mesin virtual (VM) yang berjalan di Google Cloud (terbuka di tab baru).
Secara khusus, serangan itu mengeksploitasi kelemahan dalam Google Compute Engine (GCE), yang merupakan Infrastruktur sebagai Layanan Google Cloud (IaaS (terbuka di tab baru)) produk.
Rad menjelaskan bahwa penyerang dapat mengambil alih VM GCE dengan memanfaatkan kelemahan generator angka acak server DHCP ISC yang mereka gunakan secara default, bersama dengan “kombinasi faktor tambahan yang tidak menguntungkan”.
“[The hijacking] dilakukan dengan meniru server metadata dari sudut pandang mesin virtual yang ditargetkan. Dengan memasang eksploit ini, penyerang dapat memberikan akses ke dirinya sendiri melalui SSH (otentikasi kunci publik) sehingga mereka dapat masuk sebagai pengguna root,” tulis Rad. (terbuka di tab baru).
Mungkin, tapi tidak praktis?
Dalam tulisannya, Rad menjelaskan bahwa serangan itu terdiri dari dua fase. Yang pertama melibatkan membebani VM korban dengan lalu lintas DHCP untuk membuatnya menggunakan server metadata berbahaya yang dikendalikan penyerang alih-alih server resmi Google.
Setelah VM korban mendengarkan server metadata nakal untuk informasi konfigurasi, penyerang dapat mengirimkan kunci publik SSH mereka dan mendapatkan akses root ke VM.
Rad mengatakan tekniknya terinspirasi oleh vektor serangan yang dibagikan terakhir kali Chris Moberly (terbuka di tab baru)peneliti keamanan lainnya.
Mengurai informasi Rad, Pendaftaran (terbuka di tab baru) berpendapat bahwa serangan itu tidak praktis, meskipun Rad mereproduksi tiga bukti konsep yang berhasil mengeksploitasi kerentanan.
Rad mengatakan dia melaporkan kerentanan ke Google pada September 2020, tetapi belum mendapat kabar sejak itu. Dia menduga bahwa, karena Google belum menutup laporan bugnya, mungkin ada “kerumitan teknis” yang mencegah mereka menerapkan perbaikan tingkat jaringan.
Google tidak segera menanggapi permintaan klarifikasi kami.
Memperbarui:
Di latar belakang, Google memberi tahu TechRadar Pro itu telah mengambil langkah-langkah untuk mencegah eksploitasi kerentanan melalui internet atau lalu lintas IP VM eksternal, meskipun mitigasi lengkap belum diterapkan.
Menurut Google, pelanggan dengan lalu lintas internal yang tidak tepercaya sebaiknya memastikan port UDP 68 yang masuk diblokir oleh firewall (terbuka di tab baru) untuk mencegah aktivitas berbahaya.
