Os clientes podem configurar o Google SecOps para carregar dados de contentores do Cloud Storage pertencentes ao cliente através de um feed de carregamento. Até há pouco tempo, o Google SecOps fornecia uma conta de serviço partilhada que os clientes usavam para conceder autorização ao contentor. Existia uma oportunidade em que a instância do Google SecOps de um cliente podia ser configurada para carregar dados do contentor do Cloud Storage de outro cliente. Após realizarmos uma análise de impacto, não encontrámos nenhuma exploração atual ou anterior desta vulnerabilidade. A vulnerabilidade estava presente em todas as versões do Google SecOps anteriores a 19 de setembro de 2023.

O que devo fazer?

A 19 de setembro de 2023, o Google SecOps foi atualizado para resolver esta vulnerabilidade. Não é necessária nenhuma ação por parte do cliente.

Que vulnerabilidades estão a ser abordadas?

Anteriormente, o Google SecOps fornecia uma conta de serviço partilhada que os clientes usavam para conceder autorização a um contentor. Uma vez que diferentes clientes concederam à mesma conta de serviço do Google SecOps autorização para o respetivo contentor, existia um vetor de exploração que permitia que o feed de um cliente acedesse ao contentor de outro cliente quando um feed estava a ser criado ou modificado. Este vetor de exploração exigia o conhecimento do URI do contentor. Agora, durante a criação ou a modificação do feed, o Google SecOps usa contas de serviço únicas para cada cliente.