구글 클라우드 플랫폼(GCP)에서 해커가 원격으로 악성 코드를 실행할 수 있는 주요 결함이 발견됨. 이 결함은 Tenable의 사이버 보안 연구원들에 의해 발견되었으며, 그들은 이 사실을 구글에 보고함. 구글은 이후 이 문제를 해결하고 구멍을 막음.
Tenable의 연구원들은 '의존성 혼란' 취약점으로 알려진 것을 발견했으며, 이를 CloudImposer라고 명명함.
이 결함은 위협 행위자들이 '잠재적으로 수백만 개의 GCP 서버와 고객 시스템'에서 코드를 실행할 수 있게 했다고 함. App Engine, Cloud Function, Cloud Composer가 이 취약점의 가장 큰 영향을 받았다고 전함.
결함은 GCP의 Composer 의존성 설치 과정에서 발견되었으며, 공격자가 악성 패키지를 PyPI에 업로드할 수 있게 해줌. 이 패키지는 모든 Composer 인스턴스에 사전 설치되며, 높은 권한을 가짐.
결과적으로 악성 행위자들은 원격으로 코드를 실행하고, 서비스 계정 자격 증명을 유출하며, 다른 GCP 서비스로 수평 이동할 수 있었음.
Tenable은 연구원들이 GCP와 Python 소프트웨어 재단의 문서를 심층 분석하는 과정에서 이 버그를 발견했다고 전함. 이 취약점은 클라우드에서 공급망 공격을 초래할 수 있었으며, 이는 온프레미스 환경에 비해 '기하급수적으로 더 파괴적'일 수 있다고 함. 단일 악성 패키지가 여러 네트워크에 빠르게 퍼질 수 있어 수백만 명이 노출될 수 있음.
Tenable의 수석 연구 엔지니어인 Liv Matan은 "CloudImposer의 폭발 반경은 엄청나다"고 언급하며, "이 취약점을 발견하고 공개함으로써 공격자들이 대규모로 악용할 수 있는 주요 경로를 차단했다"고 덧붙임.
Tenable은 또한 구글의 '놀라운 인식 부족과 예방 조치'에 대해 비판하며, 이는 '수년간 알려진 공격 기법'이라고 설명함.
