رصد باحثون في مجال الأمن السيبراني ثغرة محتملة لرفع الامتيازات داخل منصة Google Cloud Platform، شملت خدمات Cloud Functions وCloud Build، مما أثار مخاوف بشأن سلامة إعدادات الحوسبة السحابية على نطاق أوسع. الثغرة اكتشفتها بدايةً وحدة الأبحاث في شركة Tenable المختصة في رصد الثغرات، وأتاحت للمهاجمين استغلال آلية نشر الوظائف السحابية للحصول على صلاحيات مرفوعة بغير وجه حق.
وعقب التقرير، سارعت شركة غوغل إلى إصدار تحديث أمني عالج فيه منح الصلاحيات الزائدة التي كانت تُمنح لحسابات خدمة Cloud Build بشكل افتراضي. التعديلات شملت تحسين السياسات الخاصة بالتحكم في حسابات الخدمة لإعطاء تحكم أكثر دقة في إدارة الامتيازات، بما يتوافق مع مبدأ “أقل صلاحية” كما هو منصوص عليه في ضوابط الأمن السيبراني الوطنية.
وفي تطور لافت، أعلنت وحدة Cisco Talos، الذراع الاستخباراتي لشركة Cisco والمتخصصة في تحليل التهديدات، أنها نجحت في إعادة إنتاج أسلوب الهجوم، ووسعت نطاق الاختبار ليشمل منصات سحابية أخرى. الباحثون استخدموا خادماً يعمل بنظام Debian مزوّداً بمدير الحزم Node Package Manager وأداة Ngrok، واستعانوا بملف package.json خبيث لاستخراج رموز المصادقة، وأكدوا أن التصحيح الذي قدمته غوغل قد حيّد بالفعل ثغرة التصعيد الأصلي.
لكن شركة Talos أوضحت أن الأسلوب ذاته يمكن تطويعه لأغراض الاستطلاع والتمهيد للهجمات، حتى في حال عدم وجود صلاحيات مرتفعة. وقد جرى اختبار الطريقة على خدمات AWS Lambda وAzure Functions، ما أثبت إمكانية استخدامها في بيئات حوسبة سحابية متعددة.
التحقيق كشف عن مجموعة من تقنيات الاستطلاع التي يمكن أن يستخدمها المهاجمون لجمع معلومات عن النظام والشبكة:
- استخدام بروتوكول ICMP لرسم خريطة الشبكة
- فحص ملفات dockerenv لاكتشاف بيئات الحاويات
- اختبار جدولة المعالج لتحديد نوعية نظام التشغيل
- تحليل معرف الحاوية ونقاط الربط لرصد احتمالات الهروب من البيئة
- جمع تفاصيل النظام التشغيلي ونواة النظام
- مسح المستخدمين والصلاحيات لتعزيز احتمالات التصعيد
- تحليل حركة الشبكة لرصد الثغرات المحتملة
ورغم أن هذه العمليات لا تحتاج إلى صلاحيات مرتفعة، فإنها تمثل وسيلة فعالة لتوسيع قاعدة المعارف لدى المهاجمين تمهيداً لهجمات لاحقة، مما يشير إلى أهمية الرقابة المستمرة وتقييد الامتيازات حسب الحاجة فقط.
رداً على التقرير، أعلنت غوغل أنها حدّثت سلوكيات Cloud Build ووضعت سياسات جديدة للتحكم الدقيق في حسابات الخدمة، مؤكدة أن طريقة استخراج الرموز لم تعد فعّالة.
وللوقاية من هذه التهديدات، ينصح خبراء الأمن السيبراني المؤسسات بما يلي:
- فرض مبدأ أقل صلاحية على جميع حسابات الخدمة
- تنفيذ عمليات تدقيق ومراقبة دورية لصلاحيات المستخدمين
- تفعيل التنبيهات لأي تعديل غير متوقع في وظائف الحوسبة السحابية
- مراقبة حركة الخروج للكشف عن عمليات تسريب محتملة
- التحقق من سلامة حزم NPM الخارجية قبل اعتمادها
ورغم أن الثغرة الأساسية تم معالجتها، إلا أن البحث يؤكد استمرار المخاطر الناتجة عن الإعدادات المفرطة في الامتيازات، وضرورة تبني منهجية مراقبة أمنية متواصلة في جميع بيئات الحوسبة السحابية.
