Peneliti cybersecurity telah merinci kerentanan yang sekarang ditonton di Google Cloud Platform (GCP) yang dapat memungkinkan penyerang untuk meningkatkan hak istimewa mereka di layanan orkestrasi alur kerja komposer cloud yang didasarkan pada Airflow Apache.
“Kerentanan ini memungkinkan penyerang dengan izin edit di Cloud Composer untuk meningkatkan akses mereka ke akun layanan Cloud Build default, yang memiliki izin tingkat tinggi di seluruh layanan GCP seperti Cloud Build sendiri, penyimpanan cloud, dan registri artefak,” Liv Matan, peneliti keamanan senior di Tenable, mengatakan dalam sebuah laporan yang dibagikan dengan berita peretas.
Kekurangan ini telah diberi nama kode yang bingung oleh perusahaan cybersecurity, menggambarkannya sebagai varian dari fungsi yang bingung, kerentanan eskalasi hak istimewa yang memengaruhi layanan fungsi cloud GCP yang dapat dieksploitasi oleh penyerang untuk mengakses layanan lain dan data sensitif dengan cara yang tidak sah.
Pengungkapan itu datang beberapa minggu setelah kerentanan eskalasi hak istimewa terperinci lain di Cloud GCP Run yang dijuluki Imagerunner yang dapat memungkinkan aktor jahat untuk mengakses gambar kontainer dan bahkan menyuntikkan kode berbahaya – membuat efek cascading.
Seperti Imagerunner, Confevoser adalah contoh lain dari konsep Jenga, yang menyebabkan masalah keamanan diwarisi dari satu layanan ke yang lain ketika penyedia layanan cloud membangun layanan baru di atas yang ada.
Eksploitasi engsel pada penyerang memiliki izin untuk mengedit lingkungan komposer cloud (yaitu, komposer.environments.update), yang dapat dieksploitasi untuk menyuntikkan paket Python Pack Paket (PYPI) yang mampu meningkatkan hak istimewa melalui cloud build.
Serangan ini dimungkinkan karena fakta bahwa Cloud Composer memungkinkan pengguna untuk menginstal paket PYPI khusus di lingkungan mereka, sehingga memungkinkan musuh untuk menjalankan kode sewenang -wenang dalam instance build cloud terkait dengan menggunakan skrip instalasi di dalam paket jahat mereka.
“CompleComposer adalah penting karena memaparkan bagaimana interaksi di belakang layar antara layanan cloud dapat dieksploitasi melalui eskalasi hak istimewa,” jelas Matan. “Dalam hal ini, penyerang hanya membutuhkan izin untuk memperbarui lingkungan komposer cloud untuk mendapatkan akses ke layanan GCP kritis seperti penyimpanan cloud dan registri artefak.”
Eksploitasi cacat yang berhasil dapat memungkinkan penyerang untuk menyedot data sensitif, mengganggu layanan, dan menggunakan kode berbahaya di dalam pipa CI/CD. Selain itu, itu bisa membuka jalan bagi penyebaran backdoors yang dapat memberikan akses terus -menerus ke lingkungan awan yang dikompromikan.
Mengikuti pengungkapan yang bertanggung jawab dengan Tenable, Google telah membahas kerentanan pada 13 April 2025, dengan menghilangkan penggunaan akun layanan Cloud Build untuk menginstal paket PYPI.
“Akun layanan lingkungan akan digunakan sebagai gantinya,” kata Google dalam sebuah pengumuman pada 15 Januari 2025. “Lingkungan Cloud Composer 2 yang ada yang sebelumnya menggunakan akun layanan Cloud Build default akan berubah menjadi menggunakan akun layanan lingkungan sebagai gantinya.”
“Lingkungan Cloud Composer 2 dibuat dalam versi 2.10.2 dan kemudian sudah memiliki perubahan ini. Lingkungan Cloud Composer 3 sudah menggunakan akun layanan lingkungan, dan tidak dipengaruhi oleh perubahan ini.”
Pengungkapan itu datang ketika Varonis Ancaman Labs mengungkap kerentanan di Microsoft Azure yang dapat memungkinkan aktor ancaman dengan akses istimewa ke Azure SQL Server untuk mengubah konfigurasi dengan cara yang menyebabkan kehilangan data pada tindakan admin. Microsoft telah sepenuhnya memperbaiki masalah pada 9 April 2025, setelah disadari pada 5 Agustus 2024.
Kerentanan injeksi parameter URL yang disimpan destruktif, kata perusahaan itu, berasal dari kurangnya batasan karakter untuk aturan firewall server yang dibuat menggunakan Transact-SQL (T-SQL).
“Dengan memanipulasi nama aturan firewall tingkat server melalui T-SQL, aktor ancaman dengan akses istimewa ke server SQL Azure dapat menyuntikkan implan yang, berdasarkan tindakan pengguna tertentu, menghapus sumber daya Azure yang sewenang-wenang yang oleh pengguna memiliki izin untuk,” kata peneliti keamanan Coby Abrams.
“Dampak aktor ancaman yang mengeksploitasi kerentanan ini bisa menjadi kehilangan data skala besar di akun Azure yang terpengaruh.”
Ini juga datang ketika Datadog Security Labs menjelaskan bug di unit administrasi terbatas Microsoft entra yang dapat memungkinkan penyerang untuk mencegah pengguna yang dipilih dimodifikasi, dihapus, atau dinonaktifkan, bahkan oleh administrator global.
“Seorang penyerang istimewa dapat menggunakan bug ini untuk melindungi akun di bawah kendali mereka, mencegah penahanan oleh administrator entra id,” kata peneliti keamanan Katie Knowles. Ini termasuk berbagai tugas seperti mengatur ulang kata sandi, mencabut sesi pengguna, menghapus pengguna, dan membersihkan metode otentikasi multi-faktor (MFA).
Masalah ini telah ditetapkan oleh pembuat Windows pada 22 Februari 2025, setelah pengungkapan yang bertanggung jawab pada 19 Agustus 2024.
Dalam beberapa minggu terakhir, aktor ancaman telah ditemukan melatih pandangan mereka di situs web yang di-host di Amazon Web Services (AWS) Elastic Compute Cloud (EC2) instance dengan mengeksploitasi kerentanan pemalsuan sisi server (SSRF) untuk mengekstraksi informasi metadata.
“EC2 Instance Metadata adalah fitur yang disediakan oleh AWS yang memungkinkan instance EC2 untuk mengakses informasi yang diperlukan saat runtime tanpa perlu mengotentikasi atau membuat panggilan API eksternal,” kata peneliti F5 Labs Merlyn Albery-Speyer. “Ini dapat mengekspos informasi seperti alamat IP publik atau pribadi, ID instance, dan kredensial peran IAM. Banyak dari ini adalah data sensitif yang menarik bagi penyerang.”
