Uma falha crítica de segurança no Google Cloud Platform (GCP) Composer, agora corrigida, poderia ter sido explorada para executar códigos remotamente em servidores na nuvem através de uma técnica de ataque à cadeia de suprimentos conhecida como dependency confusion. A vulnerabilidade, batizada de CloudImposer pela equipe da Tenable Research, foi identificada em janeiro de 2024 e corrigida em maio de 2024. O problema permitia que um invasor sequestrasse uma dependência de software interna que a Google pré-instala em cada ferramenta de orquestração de pipeline do Cloud Composer.

A dependency confusion, ou ataque de substituição, é um tipo de comprometimento na cadeia de suprimentos de software onde um gerenciador de pacotes é induzido a baixar um pacote malicioso de um repositório público em vez do arquivo correto com o mesmo nome de um repositório interno. Ao publicar um pacote falso com o mesmo nome e uma versão mais alta, um atacante pode enganar o gerenciador de pacotes, que acaba substituindo a dependência existente pela versão maliciosa.

Após a divulgação responsável da vulnerabilidade em janeiro, a Google corrigiu o problema em maio ao garantir que o pacote fosse instalado apenas de um repositório privado e adicionando a verificação do checksum do pacote para confirmar sua integridade e evitar adulterações. Além disso, a Google agora recomenda que os desenvolvedores utilizem o argumento “–index-url” em vez do “–extra-index-url” e que os clientes do GCP usem um repositório virtual do Artifact Registry ao requisitar múltiplos repositórios.