Уязвимость ConfusedFunction на Google Cloud Platform: данные пользователей под угрозой

Исследователи из компании Tenable обнаружили серьезную уязвимость в системе Google Cloud Platform, получившую название «ConfusedFunction». Этот баг позволяет злоумышленникам получить несанкционированный доступ к важным сервисам, таким как Cloud Build, Cloud Storage, а также Artifact Registry и Container Registry, что ставит под угрозу безопасность пользовательских данных.

Уязвимость связана с сервисом Cloud Functions, предоставляющим возможность выполнять код в ответ на определенные события без необходимости управления сервером. Проблема возникает из-за того, что при создании или обновлении функции автоматически создается сервисный аккаунт Cloud Build с чрезмерными разрешениями, что открывает двери для атак.

Google уже приняла меры, изменив поведение по умолчанию, чтобы новые инстансы использовали учетную запись сервиса Compute Engine, однако изменения не затрагивают уже существующие инстансы. Это означает, что многие пользователи все еще остаются уязвимы для атак.