Questa pagina è stata tradotta dall'API Cloud Translation.

Bollettini sulla sicurezza

Di seguito sono descritti tutti i bollettini sulla sicurezza relativi a Dataflow.

Per ricevere gli ultimi bollettini sulla sicurezza, esegui una delle seguenti operazioni:

Aggiungi l'URL di questa pagina al tuo aggregatore di feed.
Aggiungi l'URL del feed direttamente al tuo aggregatore di feed: https://cloud.google.com/feeds/dataflow-security-bulletins.xml

GCP-2024-040

Pubblicato: 03/07/2024

Descrizione Gravità Note

Descrizione	Gravità	Note
Di recente è stata scoperta in OpenSSH una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387. I job Dataflow potrebbero creare VM che utilizzano un'immagine del sistema operativo con versioni di OpenSSH vulnerabili a CVE-2024-6387. La vulnerabilità potrebbe consentire agli attaccanti di ottenere l'accesso come utente root alle VM worker Dataflow. Le VM worker Dataflow con indirizzi IP pubblici e SSH esposti a internet devono essere trattate con la massima priorità per la mitigazione. Che cosa devo fare? È disponibile un'immagine VM Dataflow con patch che include un OpenSSH aggiornato. Ti consigliamo di seguire i passaggi riportati di seguito per verificare l'esposizione delle tue pipeline e poi applicare le mitigazioni descritte, se necessario. Non consentire l'accesso SSH alle VM worker Dataflow Questa azione è la misura di mitigazione più efficace contro le vulnerabilità attuali e future in SSH. L'accesso SSH alle VM worker Dataflow non è necessario per il funzionamento di Dataflow o per il debug della maggior parte dei problemi di Dataflow. Utilizza il seguente comando Google Cloud CLI per disattivare SSH per le VM Dataflow: gcloud compute firewall-rules create block-ssh-dataflow \ --network=`NETWORK` \ --action=DENY --priority=500 \ --rules=tcp:22 \ --target-tags=dataflow Per annullare questa azione, utilizza il comando `gcloud compute firewall-rules delete block-ssh-dataflow`. Aggiornare o riavviare le pipeline di streaming di lunga durata Questa azione risolve la vulnerabilità specifica indicata in questo bollettino. Tutti i job Dataflow avviati dopo le ore 22:00 PDT del 04/07/2024 utilizzano l'immagine VM con patch. Per le pipeline di streaming lanciate prima di questa data, per utilizzare l'immagine VM con patch, devi aggiornare manualmente il job o riavviare il job. Identificare i job Dataflow con VM worker con indirizzi IP pubblici A meno che l'accesso non sia bloccato dai firewall, le porte SSH delle VM worker di Dataflow con indirizzi IP pubblici sono aperte a internet. Per ottenere un elenco di job Dataflow che hanno avviato VM con indirizzi IP esterni, utilizza il seguente comando gcloud CLI: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \ AND description ~ 'Created for Dataflow job'" \ --format="list (description)" \| sort -u Per ispezionare l'elenco di tutte le VM con indirizzi IP esterni nel progetto, utilizza il seguente comando gcloud CLI: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'" Disattivare gli IP pubblici nei job Dataflow Questo passaggio garantisce che le porte SSH non siano aperte alla rete internet pubblica. A meno che l'accesso non sia bloccato da un firewall, questa configurazione lascia le porte aperte per altri utenti con accesso a questa rete. Le pipeline Dataflow che non accedono a internet pubblico non devono utilizzare indirizzi IP pubblici. Se identifichi pipeline che utilizzano indirizzi IP pubblici, ma non necessitano di accesso a internet pubblico, disattiva gli indirizzi IP esterni per queste pipeline. Per istruzioni, consulta Disattivare l'indirizzo IP esterno. Quali vulnerabilità vengono affrontate? La vulnerabilità CVE-2024-6387 sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli attaccanti di ottenere l'accesso come root alle VM worker Dataflow. Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile e richieda diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.	Medio	CVE-2024-6387

Di recente è stata scoperta in OpenSSH una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387. I job Dataflow potrebbero creare VM che utilizzano un'immagine del sistema operativo con versioni di OpenSSH vulnerabili a CVE-2024-6387. La vulnerabilità potrebbe consentire agli attaccanti di ottenere l'accesso come utente root alle VM worker Dataflow. Le VM worker Dataflow con indirizzi IP pubblici e SSH esposti a internet devono essere trattate con la massima priorità per la mitigazione.

Che cosa devo fare?

È disponibile un'immagine VM Dataflow con patch che include un OpenSSH aggiornato. Ti consigliamo di seguire i passaggi riportati di seguito per verificare l'esposizione delle tue pipeline e poi applicare le mitigazioni descritte, se necessario.

Non consentire l'accesso SSH alle VM worker Dataflow

Questa azione è la misura di mitigazione più efficace contro le vulnerabilità attuali e future in SSH.

L'accesso SSH alle VM worker Dataflow non è necessario per il funzionamento di Dataflow o per il debug della maggior parte dei problemi di Dataflow.

Utilizza il seguente comando Google Cloud CLI per disattivare SSH per le VM Dataflow:

gcloud compute firewall-rules create block-ssh-dataflow \
   --network=NETWORK \
   --action=DENY --priority=500 \
   --rules=tcp:22 \
   --target-tags=dataflow

Per annullare questa azione, utilizza il comando gcloud compute firewall-rules delete block-ssh-dataflow.

Aggiornare o riavviare le pipeline di streaming di lunga durata

Questa azione risolve la vulnerabilità specifica indicata in questo bollettino.

Tutti i job Dataflow avviati dopo le ore 22:00 PDT del 04/07/2024 utilizzano l'immagine VM con patch. Per le pipeline di streaming lanciate prima di questa data, per utilizzare l'immagine VM con patch, devi aggiornare manualmente il job o riavviare il job.

Identificare i job Dataflow con VM worker con indirizzi IP pubblici

A meno che l'accesso non sia bloccato dai firewall, le porte SSH delle VM worker di Dataflow con indirizzi IP pubblici sono aperte a internet.

Per ottenere un elenco di job Dataflow che hanno avviato VM con indirizzi IP esterni, utilizza il seguente comando gcloud CLI:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \
              AND description ~ 'Created for Dataflow job'" \
   --format="list (description)" | sort -u

Per ispezionare l'elenco di tutte le VM con indirizzi IP esterni nel progetto, utilizza il seguente comando gcloud CLI:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'"

Disattivare gli IP pubblici nei job Dataflow

Questo passaggio garantisce che le porte SSH non siano aperte alla rete internet pubblica. A meno che l'accesso non sia bloccato da un firewall, questa configurazione lascia le porte aperte per altri utenti con accesso a questa rete.

Le pipeline Dataflow che non accedono a internet pubblico non devono utilizzare indirizzi IP pubblici.

Se identifichi pipeline che utilizzano indirizzi IP pubblici, ma non necessitano di accesso a internet pubblico, disattiva gli indirizzi IP esterni per queste pipeline. Per istruzioni, consulta Disattivare l'indirizzo IP esterno.

Quali vulnerabilità vengono affrontate?

La vulnerabilità CVE-2024-6387 sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli attaccanti di ottenere l'accesso come root alle VM worker Dataflow. Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile e richieda diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Medio

CVE-2024-6387