Google Security Operations SOAR 버전 6.3.54.0 및 6.3.53.2에서 심각한 취약점이 발견되었습니다. ZIP 파일을 업로드할 권한이 있는 인증된 사용자 (예: 사용 사례를 가져올 때)는 서버의 파일 시스템에 있는 임의 위치에 파일을 쓸 수 있는 ZIP 파일을 업로드할 수 있습니다.

ZIP 보관 파일에서 파일을 추출하는 시스템이 보관 파일 내 파일이 의도한 대상 폴더 외부에 기록되는 것을 방지할 수 없습니다. 이를 디렉터리 순회 또는 Zip Slip 취약점이라고도 합니다.

어떻게 해야 하나요?

고객이 별도의 조치를 취하지 않아도 됩니다. 모든 고객이 수정된 버전(6.3.54.1 또는 6.3.53.3) 이상으로 자동 업그레이드되었습니다.

해결되는 취약점은 무엇인가요?

공격자가 이 취약점을 악용하여 애플리케이션 파일을 덮어쓸 수 있습니다. 보고서 생성 기능에서 사용하는 JavaScript 파일을 덮어씀으로써 공격자는 Google SecOps SOAR 인스턴스에서 원격 코드 실행(RCE)을 달성할 수 있습니다. 공격자가 서버에서 자체 코드를 실행할 수 있습니다.

고객이 수집 피드를 사용하여 고객 소유의 Cloud Storage 버킷에서 데이터를 수집하도록 Google SecOps를 구성할 수 있습니다. 최근까지 Google SecOps는 고객이 버킷에 대한 권한을 부여하는 데 사용하는 공유 서비스 계정을 제공했습니다. 이로 인해 한 고객의 Google SecOps 인스턴스가 다른 고객의 Cloud Storage 버킷에서 데이터를 수집하도록 구성될 수 있었습니다. 영향 분석을 수행한 결과 이러한 취약점에 대한 현재 또는 이전 악용 사례는 발견되지 않았습니다. 이 취약점은 2023년 9월 19일 이전의 모든 Google SecOps 버전에서 발생했습니다.

어떻게 해야 하나요?

2023년 9월 19일부터 이 취약점이 해결되도록 Google SecOps가 업데이트되었습니다. 고객이 별도의 조치를 취하지 않아도 됩니다.

해결되는 취약점은 무엇인가요?

이전에는 Google SecOps에서 고객이 버킷에 대한 권한을 부여하는 데 사용한 공유 서비스 계정을 제공했습니다. 여러 고객이 자신의 버킷에 동일한 Google SecOps 서비스 계정 권한을 부여했으므로 피드가 생성되거나 수정될 때 한 고객의 피드가 다른 고객의 버킷에 액세스하도록 허용하는 악용 벡터가 존재했습니다. 이러한 악용 벡터에는 버킷 URI에 대한 지식이 필요했습니다. 이제는 피드 생성 또는 수정 중에 Google SecOps에서 고객마다 고유한 서비스 계정을 사용합니다.