谷歌(google)用荣誉和现金向顶级云安全研究人员致敬

2021年,白帽黑客在发现Google Cloud Platform (GCP)中的各种缺陷漏洞后获得了超过300000美元的收入。去年符合GCP漏洞奖励计划(VRP)的前七个负责任披露的漏洞共获得了313337美元,获胜者获得了133337美元。谷歌表示,始于2019年的GCP VRP表明,许多有才华的安全研究人员正在通过发现可能未被发现的漏洞来参与提高云安全性。授予的金额占Google在其完整的漏洞披露计划范围内授予的870万美元的相当大一部分。

一等奖和133337美元的奖金授予了安全研究员Sebastian Lutz,因为他发现了身份识别代理(IAP)中的一个漏洞,该漏洞为攻击者提供了一种访问受IAP保护的资源的途径。

该漏洞意味着,如果攻击者诱骗潜在受害者访问受其控制的URL,他们将能够窃取其IAP身份验证令牌,如技术博客文章中更深入地解释的那样。

匈牙利研究员Imre Rad在发现了接管Google Compute Engine虚拟机的机制后获得了73331美元的二等奖。

该黑客依靠向虚拟机发送恶意动态主机配置协议(DHCP)数据包来欺骗Google Compute Engine元数据服务器。

正如Rad在Github上的一篇技术文章中所解释的那样,该漏洞和相关攻击于2020年9月首次报告给谷歌。

随后是一个旷日持久的披露过程,直到Rad在2021年6月公开他的调查结果后,谷歌才在一个月后解决了这个问题。

2021年版GCP VRP股权的第三名——连同73331美元的奖金——归于安全研究员Mike Brancato,因为他发现并披露了Google Cloud Dataflow中的远程代码执行(RCE)漏洞。

Brancato发现Dataflow节点暴露了未经身份验证的Java JMX端口,这是一个安全漏洞,可以在虚拟机上运行任意命令,如技术博客文章中所述。

Brancato说,该漏洞的影响取决于分配给Dataflow工作节点的服务帐户。

研究人员解释说:“默认情况下,这是Google Compute Engine默认服务帐户,它分配了项目范围的编辑角色。Editor角色拥有很多创建和销毁资源的权限——它是Google不推荐使用的‘基本角色’的一部分,因为它们提供了广泛的权限。”

会将易受攻击的系统暴露给潜在的攻击。

这位安全研究人员自2017年以来一直从事云安全工作,而漏洞赏金搜索已成为他们日常工作的自然延伸。

“作为我接触云API和我的背景的一部分,我开始识别看起来很有趣并且可能容易受到攻击的系统,”Brancato总结道。

发表评论

评论已关闭。

相关文章