Unternehmen sollten umgehend reagieren


Tenable Research-Team identifiziert "ConfusedFunction"-Schwachstelle in "Google Cloud Platform"
Bei den Cloud Functions in GCP handelt es sich um Event-getriggerte Serverless-Funktionen, die automatisch skalieren und Code ausführen, sobald sie über bestimmte Events ausgelöst werden


Tenable gibt bekannt, dass das Tenable Cloud Research Team eine Schwachstelle in der Google Cloud Platform (GCP) identifiziert hat. Diese betrifft den Serverless-Compute-Service ‚Cloud Function‘ sowie den CI/CD-Pipeline-Service ‚Cloud Build‘. GCP hat die ConfusedFunction-Schwachstelle für künftige Cloud Build-Accounts behoben. Bestehende Cloud Build-Instanzen bleiben allerdings gefährdet – Unternehmen sollten umgehend reagieren.

Bei den Cloud Functions in GCP handelt es sich um Event-getriggerte Serverless-Funktionen, die automatisch skalieren und Code ausführen, sobald sie über bestimmte Events (etwa HTTP-Requests oder Data-Changes) ausgelöst werden. Wenn ein GCP-Anwender eine Cloud Function erstellt oder aktualisiert, wird im Backend ein mehrstufiger Prozess angestoßen. Zu diesem Prozess gehört es auch, dass der neu erstellten Cloud-Build-Instanz im Zuge des Deployments standardmäßig ein Cloud-Build-Service-Account zugewiesen wird. Dieser standardmäßige Cloud-Build-Service-Account gesteht dem Anwender allerdings zu weit gefasste Rechte zu – und weil der gesamte Prozess im Hintergrund abläuft, werden gewöhnliche User nichts davon bemerken.

Ein Angreifer mit der Berechtigung, eine Cloud Function anzulegen oder zu aktualisieren, kann diesen Deployment-Prozess missbrauchen, um die Zugriffsrechte auf den standardmäßig zugewiesenen Cloud Build-Service-Account zu eskalieren und die Berechtigungen auf weitere GCP-Services wie Cloud Storage, Artifact Registry oder Container Registry auszuweiten. Indem er den Deployment-Flow und das Trust-Verhältnis zwischen den Services auf diese Weise ausnutzt, könnte der Angreifer über den Default-Cloud-Build-Service-Account zudem Code ausführen.

"Die ConfusedFunction-Schwachstelle ist ein gutes Beispiel für die vielen problematischen Szenarien, zu denen der hohe Komplexitätsgrad der Software und der Inter-Service-Kommunikation auf den Plattformen der Cloud-Provider führen kann", erklärt Liv Matan, Senior Research Engineer bei Tenable. "Um sicherzustellen, dass alle Systeme abwärtskompatibel bleiben, hat GCP davon abgesehen, die Berechtigungen von älteren, vor dem Fix erstellten Cloud-Build-Service-Accounts anzupassen. Das bedeutet, dass viele bestehende Instanzen nach wie vor von der Schwachstelle betroffen sind. Wir können Kunden nur dringend empfehlen, dieses Thema umgehend zu adressieren."

GCP hat bestätigt, dass ConfusedFunction für alle Accounts, die nach dem 14. Februar 2024 erstellt wurden, weitgehend behoben wurde. Dieser Fix hat das Gefahrenpotenzial des Problems in künftigen Deployments minimiert, letztlich aber nicht vollständig behoben. Die Empfehlung lautet daher, für jede Cloud Function, die den ursprünglichen Cloud-Build-Service-Account verwendet, stattdessen einen Least-Privilege-Service-Account zu implementieren. (Tenable: ra)

eingetragen: 23.08.24
Newsletterlauf: 21.10.24

Tenable Network Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Hintergrund

  • ray ebnet Weg in hybride Cloud-Welt

    proAlpha, Anbieterin von ERP- und Softwarelösungen für die mittelständische Fertigungsindustrie, kündigt die allgemeine Verfügbarkeit seiner webbasierten ERP-Lösung "proAlpha ray" an. Damit erhalten Nutzer über den Browser einfachen und mobilen Zugriff auf das ERP, jederzeit und über nahezu jedes beliebige Endgerät.

  • Viel Potenzial in der neuen "Sales Cloud"

    Es ist die neue Vertriebslösung der SAP: Die "Sales Cloud V2". Sie verspricht vor allem eines: intelligente, automatisierte und user-freundliche Prozesse. Wie viel Erleichterung verschafft die neue Lösung den Vertriebs-Teams? Und was sind die Unterschiede zur Vorgängerversion?

  • Dell RMAD beschleunigt Disaster Recovery

    Dell liefert ab sofort das neue Release des "Dell Recovery Manager for Active Directory" und des "Recovery Manager for Active Directory Forest Edition 8.7" aus. Unternehmen, die eine hybride Active-Directory-Umgebung mit Azure AD Connect betreiben, sind so in der Lage, AD-Objekte in Echtzeit zu sichern, zu analysieren und wiederherzustellen - und dies sowohl in On-Premises-Umgebungen als auch in der Cloud. Damit ist Dell der erste Anbieter im Markt, der eine vollständige Suite von AD-Backup- und Recovery-Lösungen bereitstellt, die Item-Level Recovery, vergleichende Berichte und Attribute-Rollback-Funktionalitäten unterstützen. Unternehmen erhalten die vollständige Kontrolle, die sie für eine erfolgreiche, hybride AD-Verwaltung benötigen. Sie sind damit in der Lage, in ihrem Rechenzentrum eine automatische Wiederherstellung auf Forest-Ebene vorzunehmen sowie eine voll funktionsfähige Virtual-Lab-Umgebung aufzubauen.

  • Fortschrittlicheres IT-Management

    Kaseya, Anbieterin von Software für Cloud-basiertes IT-Management, stellt ein Fünf-Schritte-Model von, mit dem Unternehmen fortschrittlicheres IT-Management haben können. Im Gegensatz zur gängigen Annahme haben mittelständische Unternehmen einen großen Vorteil, wenn sie ihre IT voranbringen wollen. Der Schlüssel dafür heißt Flexibilität, weil Mittelständler ihre IT mit einem geringen finanziellen Aufwand weiterentwickeln können.

  • HR-Management aus der Cloud

    Das Personalwesen und das Human Capital Management (HCM) haben in den letzten Jahren deutlich und vielerorts auch nachhaltig an Bedeutung gewonnen. Mit den wachsenden Funktionsumfängen betriebswirtschaftlicher Lösungen hat sich das Personalwesen vom Verwaltungsapparat bis heute zu einem wertvollen strategischen Instrument zur Umsetzung der Unternehmensziele entwickelt. Nicht nur im personalintensiven Dienstleistungssektor gilt das Human Capital Management heute als kardinale Managementdisziplin, die mit ihren Kernaufgaben wie u.a. Personalauswahl, Talent und Performance Management, Personalentwicklung, Self Services oder Ressourcensteuerung einen gewichtigen Beitrag zum Unternehmenserfolg leistet. Bedarfsgerechte Cloud Computing-Angebote eröffnen mit ihren flexiblen und nutzungsorientierten Betriebsmodellen quasi für jedermann eine schnelle und preisgünstige Transformation der HR-Prozesse zu einem proaktiven Managementwerkzeug.

  • Cloud: Auch WANs können Probleme bereiten

    Cloud Computing bringt einem Unternehmen eine Menge Vorteile, etwa niedrigere Kosten, Rechenleistung und Software nach Bedarf oder Zugriff auf ausgefeilte Funktionen wie Disaster Recovery und Datenreplizierung in einem Cloud-Data-Center. "Doch ein Cloud Computing-Projekt kann schnell in einem Debakel enden", warnt Jeff Aaron, Vice President Marketing bei Silver Peak Systems, einem weltweit führenden Anbieter von Software, mit der sich Daten schnell, effizient und sicher über große Entfernungen übermitteln lassen. "Das ist dann der Fall, wenn der Nutzer nicht im Vorfeld prüft, ob seine Netzwerkinfrastruktur für die speziellen Anforderungen von Cloud Computing-Diensten ausgelegt ist."

  • Externe Cloud kann zur Schatten-IT führen

    Laut den Analysten von Gartner wird der Anteil der Mitarbeiter, die im IT-Betrieb tätig sind, von heute bis zu 70 Prozent auf unter 30 Prozent sinken (Gartner: "IT Professional Outlook, 2012 to 2016", Januar 2012). Damit steht die IT-Organisation vor einer drastischen Veränderung: Soll sie den IT-Betrieb weiterhin intern leisten, so muss sie einen hohen Automatisierungsgrad erreichen. Der Druck auf IT-Verantwortliche wird durch die Angebote externer Cloud Service-Provider verstärkt, die IT-Leistungen durch flexibel skalierbare Rechenzentren mit modernster Technik anbieten.

  • Komplexitätsproblem Cloud Computing

    Keine Frage, Cloud Computing ist auf dem Vormarsch. Schon heute hängen 44 Prozent aller Händler-Websites von Amazons Cloud Computing-Plattform "EC2" ab. Dazu steigt der Anteil an Online-Inhalten von Drittanbietern (CDN) stetig weiter an. Und auch Big Data steht nicht mehr zu Wahl, sondern ist bereits Wirklichkeit. Nach Erhebungen von Deloitte werden bis Ende des Jahres schon über 90 Prozent der Fortune 500 Unternehmen Big Data-Initiativen auf den Weg gebracht haben.

  • Cloud Computing braucht Sicherheit

    Die Gefahren beim Cloud Computing müssen beherrschbar sein. Dies forderte die Nifis Nationale Initiative für Informations- und Internet-Sicherheit e.V. anlässlich der diesjährigen it-sa 2012. Laut Nifis ist die Gefahr, beim Nutzen der Daten-Wolke durch Hacker-Angriffe in Mitleidenschaft gezogen zu werden und dabei sensible Daten zu verlieren, sehr groß. Vor allem Datenpannen bei Cloud Computing-Anbietern sorgen immer wieder für ein unkalkulierbares Bedrohungspotential.

  • Was Cloud-Lösungen dem Mittelstand bringen

    Der Vorteil von Cloud Computing-Anwendungen im Mittelstand ist in aller Munde. ProjectHQ bietet mit dem "Cloud-Kompass" nun den direkten Vergleich zwischen klassischer Software und modernen Cloud-Lösungen. Mit dem "ProjectHQ Cloud-Kompass" ist es möglich, den direkten Kostenvergleich zwischen klassischer Software und einer modernen Cloud Computing-Lösung anzustellen. Interessierte Unternehmen können mit nur wenigen Angaben zu bestehenden Systemen eine aussagekräftige Abschätzung der Kosten- und Funktionsvorteile für ihre Ansprüche erhalten.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen