安全专家在谷歌云中发现了一个重大漏洞

2023-05-22 20:25:09

安全专家SADA声称在GoogleCloudPlatform中发现了一个严重漏洞,该漏洞已被这家科技巨头修复。

该漏洞被称为资产密钥盗窃,可能允许威胁行为者窃取谷歌云服务帐户的私钥。在一份声明中(在新标签页中打开),SADA表示,它相信该漏洞“会给攻击者提供一种持久可靠的方法来滥用谷歌云环境。”

SADA通过其BugHunters将其云托管业务中的问题通知了谷歌(在新标签页中打开)赏金计划,研究人员可以在其中以安全可靠的方式提醒科技巨头他们在其产品中发现的缺陷。

SADA认为这个问题很严重,“因为许可与第三方云安全工具(例如云安全状态管理(CSPM)工具)的通用性,可以从API收集云库存数据。”

该缺陷是在称为CloudAssetInventoryAPI的GoogleCloudPlatformAPI中发现的。它影响了所有已启用此API且对适用的GoogleCloud环境具有cloudasset.assets.searchAllResources权限的GoogleCloud用户均暴露于此漏洞。

一旦SADA将此报告给谷歌,它就会在修补漏洞之前自行重现错误以确认其存在。然而,SADA警告说,客户可能仍会受到它的影响,并且威胁可能在补丁发布后仍然存在。

SADA首席技术官MilesWard表示:“支持我们的客户在云中转变其组织意味着在安全方面始终保持警惕。”“没有任何公共云可以免受漏洞的影响,我们都必须在发现漏洞时迅速采取行动、公开协作并透明地沟通。”

“我们赞扬谷歌云在我们提请他们注意此错误时的快速和彻底响应。我们为SADA的工程师为确保我们客户的数据保持安全所做的工作感到自豪。”

免责声明:本文来源网友投稿及网络整合仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。投诉邮箱:1765130767@qq.com。
本文地址: