Boletines de seguridad

Hace poco se ha descubierto una vulnerabilidad de ejecución remota de código (CVE-2024-6387) en OpenSSH. Los trabajos de Dataflow pueden crear VMs que usen una imagen de SO con versiones de OpenSSH vulnerables a CVE-2024-6387. La vulnerabilidad podría permitir a los atacantes obtener acceso root a las máquinas virtuales de los trabajadores de Dataflow. Las VMs de trabajador de Dataflow con direcciones IP públicas y SSH expuestas a Internet deben tratarse con la máxima prioridad para mitigar los riesgos.

¿Qué debo hacer?

Hay disponible una imagen de VM de Dataflow parcheada que incluye una versión actualizada de OpenSSH. Te recomendamos que sigas los pasos que se indican a continuación para comprobar la exposición de tus pipelines y, a continuación, apliques las mitigaciones descritas, si es necesario.

No permitir conexiones SSH a las VMs de los trabajadores de Dataflow

Esta acción es la medida de mitigación más eficaz contra las vulnerabilidades actuales y futuras de SSH.

No es necesario tener acceso SSH a las VMs de trabajador de Dataflow para que Dataflow funcione o para depurar la mayoría de los problemas de Dataflow.

Usa el siguiente comando de la CLI de Google Cloud para inhabilitar SSH en las VMs de Dataflow:

gcloud compute firewall-rules create block-ssh-dataflow \
   --network=NETWORK \
   --action=DENY --priority=500 \
   --rules=tcp:22 \
   --target-tags=dataflow

Para deshacer esta acción, usa el comando gcloud compute firewall-rules delete block-ssh-dataflow.

Actualizar o reiniciar las canalizaciones de streaming de larga duración

Esta acción soluciona la vulnerabilidad específica mencionada en este boletín.

Las tareas de Dataflow que se hayan iniciado después del 5 de julio del 2024 a las 07:00 (CEST) usarán la imagen de VM parcheada. En el caso de las canalizaciones de streaming que se hayan iniciado antes de esta fecha, para usar la imagen de VM con el parche, debes actualizar manualmente el trabajo o reiniciarlo.

Identificar qué trabajos de Dataflow tienen VMs de trabajador con direcciones IP públicas

A menos que los cortafuegos bloqueen el acceso, los puertos SSH de las VMs de trabajo de Dataflow con direcciones IP públicas están abiertos a Internet.

Para obtener una lista de los trabajos de Dataflow que han iniciado VMs con direcciones IP externas, usa el siguiente comando de gcloud CLI:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \
              AND description ~ 'Created for Dataflow job'" \
   --format="list (description)" | sort -u

Para consultar la lista de todas las VMs con direcciones IP externas de tu proyecto, usa el siguiente comando de gcloud CLI:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'"

Inhabilitar las IPs públicas en los trabajos de Dataflow

Con este paso, te aseguras de que los puertos SSH no estén abiertos a Internet. A menos que un cortafuegos bloquee el acceso, esta configuración deja los puertos abiertos a otros usuarios con acceso a esta red.

Los flujos de procesamiento de Dataflow que no acceden a Internet público no necesitan usar direcciones IP públicas.

Si identificas alguna canalización que usa direcciones IP públicas, pero no necesita acceso a Internet público, desactiva las direcciones IP externas de esas canalizaciones. Para obtener instrucciones, consulta Desactivar la dirección IP externa.

¿Qué vulnerabilidades se están tratando?

La vulnerabilidad CVE-2024-6387 aprovecha una condición de carrera que se podría usar para obtener acceso a una shell remota, lo que permitiría a los atacantes obtener acceso root a las VMs de trabajador de Dataflow. En el momento de la publicación, se cree que la explotación es difícil y que lleva varias horas por cada máquina atacada. No tenemos constancia de ningún intento de explotación.