Google Cloud Platform のバグ報奨金:3回で $10,000 の内訳とは?

Researcher Awarded $10,000 for Google Cloud Platform Vulnerability

2021/11/24 SecurityWeek — セキュリティ研究者の David Schütz は、Google Cloud Project の脆弱性を報告し、その後に、公開された修正プログラムのバイパスを報告したことで、Google から $10,000 以上のバグ報奨金を受け取ったと述べている。3月に Schütz は、Google Cloud Platform (GCP) の内部プロジェクトである、”cxl-services” のアクセス・トークンを、URL 許可リスト・バイパスを利用して漏洩できることを発見した。

このアクセストークンを入手したユーザーは、他の Google Cloud Project (docai-demo/garage-staging/p-jobs) の権限昇格や、Google Compute インスタンスへのアクセス、cxl-services.appspot.com の完全な乗っ取りなどが可能になる。

Schütz によると、流出したアクセス・トークンは、Google Cloud 製品ページのデモ API リクエストをプロキシする、App Engine アプリ cxl-services.appspot.com へのフルアクセスをユーザーに提供しているようだ。

この問題は、cxl-services.appspot.com の allow-list チェックを、”\@” を使ってバイパスするというものだ (e.g. [your_domain]\@jobs.googleapis.com)。

Schütz は、「正規表現は、権限が jobs.googleapis.com であると考えるが、リクエストを行うライブラリは、実際には [your_domain] を権限として解析し、/@jobs.googleapis.com をパスとして解析する」と述べている。

この Server-Side Request Forgery (SSRF) の脆弱性を利用して、アクセス・トークンを取得した匿名の攻撃者は、対象となる GCP プロジェクトのリソースにアクセスし、数年前のログファイルを閲覧できた。

Schütz は、この脆弱性を 2021年3月下旬に Google に報告し、4月中旬には $4,133 のバグ報奨金を受ける資格があると告げられた。

6月になって、このセキュリティ・ホールの情報を公開する準備をしていた矢先、この研究者は、当初の欠陥にはパッチが適用されていたが、悪用 URL を変更することでアクセス・トークンの漏洩が生じることを発見した。

当初は、”\@” の使用がセキュリティ上の欠陥であると考えられていたが、その後に、”\” と “@” の間に任意の文字を入れることで、URL チェックにバイパスが生じることを発見した。

Google は、この2回目のバグチェックに数日で対処し、研究者に2回目のバグ報奨金 $3,133 を支払う用意があると伝えた。8月に Schütz は、このバグが、新しいバージョンで対処されていたが、古いバージョンのデフォルト・サービスに依然として影響を与えていることを知り、Google に新たなレポートを送り、3度目のバグ報奨金として $3,133 が支給された。現在、この問題は完全に修正されているようであり、また、このセキュリティ研究者は詳細を発表し、脆弱性を発見した方式をビデオで公開している。

このブログで、初めての Google Cloud Platform に関する情報です。このところ、「Black Hat Europe:Microsoft Azure Cosmos DB はカオスだという話」や、「Black Hat Europe:AWS API Gateway を回避する脆弱性が公開された」といったふうに、クラウドの脆弱性が取り上げられていますが、これで Google も仲間入りです。いまのところ、クラウドの脆弱性には CVE がありませんが、この先、どうなるのでしょう?

%d bloggers like this: