Pesquisadores de cibersegurança divulgaram uma vulnerabilidade de escalonamento de privilégios que afeta o serviço Cloud Functions do Google Cloud Platform, permitindo que um invasor acesse outros serviços e dados sensíveis de maneira não autorizada. A Tenable nomeou a vulnerabilidade de ConfusedFunction.

“Um atacante poderia escalar seus privilégios para a Conta de Serviço Padrão do Cloud Build e acessar inúmeros serviços, como Cloud Build, armazenamento (incluindo o código-fonte de outras funções), registro de artefatos e registro de contêineres,” disse a Tenable em um comunicado.

O Cloud Functions refere-se a um ambiente de execução sem servidor que permite aos desenvolvedores criar funções de propósito único acionadas em resposta a eventos específicos do Cloud, sem a necessidade de gerenciar um servidor ou atualizar frameworks. O problema descoberto está relacionado ao fato de que uma conta de serviço do Cloud Build é criada em segundo plano e vinculada a uma instância do Cloud Build por padrão quando uma Cloud Function é criada ou atualizada.

Após a divulgação responsável, o Google atualizou o comportamento padrão para que o Cloud Build use a conta de serviço padrão do Compute Engine para evitar uso indevido. No entanto, é importante notar que essas mudanças não se aplicam às instâncias existentes. “A vulnerabilidade ConfusedFunction destaca os cenários problemáticos que podem surgir devido à complexidade do software e à comunicação entre serviços nos serviços de um provedor de nuvem,” disse a pesquisadora da Tenable, Liv Matan.