Boletines de seguridad

A continuación, se describen todos los boletines de seguridad relacionados con Dataflow.

Para recibir los boletines de seguridad más recientes, realiza una de las siguientes acciones:

  • Agrega la URL de esta página a tu lector de feeds.
  • Agrega la URL del feed directamente a tu lector de feeds: https://cloud.google.com/feeds/dataflow-security-bulletins.xml

GCP-2024-040

Publicado: 2024-07-03

Descripción Gravedad Notas

En la actualidad, se descubrió una vulnerabilidad de ejecución de código remoto, CVE-2024-6387, en OpenSSH. Los trabajos de Dataflow pueden crear VMs que usen una imagen de SO con versiones de OpenSSH que sean vulnerables a CVE-2024-6387. La vulnerabilidad podría permitir que los atacantes obtengan acceso raíz a las VMs de trabajador de Dataflow. Las VMs de trabajador de Dataflow con direcciones IP públicas y SSH expuestos a Internet deben tratarse con la mayor prioridad para la mitigación.

¿Qué debo hacer?

Hay una imagen de VM de Dataflow con parches que incluye un OpenSSH actualizado. Recomendamos seguir los siguientes pasos para verificar la exposición de tus canalizaciones y, luego, aplicar las mitigaciones descritas, según sea necesario.

Inhabilita SSH en las VMs de trabajador de Dataflow

Esta acción es la mitigación más eficaz contra las vulnerabilidades actuales y futuras en SSH.

No se requiere acceso SSH a las VMs de trabajador de Dataflow para que Dataflow funcione o para depurar la mayoría de los problemas de Dataflow.

Usa el siguiente comando de Google Cloud CLI a fin de inhabilitar SSH para las VMs de Dataflow:

gcloud compute firewall-rules create block-ssh-dataflow \
   --network=NETWORK \
   --action=DENY --priority=500 \
   --rules=tcp:22 \
   --target-tags=dataflow

Para revertir esta acción, usa el comando gcloud compute firewall-rules delete block-ssh-dataflow.

Actualiza o reinicia canalizaciones de transmisión de larga duración

Esta acción aborda la vulnerabilidad específica que se menciona en este boletín.

Cualquier trabajo de Dataflow que se haya iniciado después del 2024-07-04 22:00 PDT usa la imagen de VM con parche. Para las canalizaciones de transmisión que se iniciaron antes de esta fecha, a fin de usar la imagen de VM con parche, debes actualizar el trabajo de forma manual o reiniciar el trabajo.

Identifica qué trabajos de Dataflow tienen VMs de trabajador con direcciones IP públicas

A menos que los firewalls bloqueen el acceso, los puertos SSH de las VMs de trabajador de Dataflow con direcciones IP públicas están abiertos a Internet.

Para obtener una lista de los trabajos de Dataflow que iniciaron VMs con direcciones IP externas, usa el siguiente comando de la gcloud CLI:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \
              AND description ~ 'Created for Dataflow job'" \
   --format="list (description)" | sort -u

Para inspeccionar la lista de todas las VMs con direcciones IP externas en tu proyecto, usa el siguiente comando de la gcloud CLI:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'"

Inhabilita las IP públicas en tus trabajos de Dataflow

En este paso, te aseguras de que los puertos SSH no estén abiertos al Internet pública. A menos que un firewall bloquee el acceso, esta configuración deja los puertos abiertos a otros usuarios con acceso a esta red.

Las canalizaciones de Dataflow que no acceden al Internet pública no necesitan usar direcciones IP públicas.

Si identificas canalizaciones que usan direcciones IP públicas, pero no necesitan acceso a Internet pública, desactiva las direcciones IP externas para estas canalizaciones. Para obtener instrucciones, consulta Desactiva la dirección IP externa.

¿Qué vulnerabilidades se abordan?

La vulnerabilidad, CVE-2024-6387, aprovecha una condición de carrera que podría usarse para obtener acceso a una shell remoto, lo que permite a los atacantes obtener acceso raíz a las VMs de trabajador de Dataflow. En el momento de la publicación, se cree que la explotación podría ser difícil y tardar varias horas por cada máquina que está siendo atacada. No tenemos conocimiento de ningún intento de explotación.

Media CVE-2024-6387