0 |
Компанія NWU, офіційний дистриб’ютор продуктів Vectra AI на території України, повідомила, що вендор опублікував інформацію про вразливість у хмарному сервісі Google Document AI.
Document AI - це хмарний сервіс Google, який використовує машинне навчання для вилучення структурованих даних з неструктурованих документів з метою автоматизації завдань з обробки даних. Сервіс пропонує як попередньо навчені моделі, так і інструменти, що налаштовуються, які дають змогу компаніям ефективно аналізувати та управляти великими обсягами документів.
Уразливість у Document AI пов'язана з тим, що сервіс дає змогу користувачам опрацьовувати документи, що зберігаються в хмарному сховищі, створюючи як онлайн-завдання, або стандартні, так і офлайн-завдання, або завдання пакетного опрацювання. Під час виконання пакетного опрацювання сервіс використовує агента служби Document AI Core з роллю «documentaicore.serviceAgent» для опрацювання даних і виведення результатів. При цьому агент служби має широкі права доступу до будь-якого хмарного сховища в рамках одного проєкту.
Як пояснюється у звіті, широка модель дозволів являє собою значний ризик, оскільки дозволи агента служби Document AI Core не обмежуються ресурсами, необхідними для виконання конкретного завдання. Натомість дозвіл дає змогу отримати доступ до будь-якого відра хмарного сховища в рамках проєкту, а це означає, що навіть якщо у початкового абонента є обмежений доступ, агент служби може обійти ці обмеження.
Унаслідок цього зловмисник може використовувати цю лазівку для читання і передавання даних із хмарного сховища, до якого у нього зазвичай немає доступу, що може призвести до серйозних ризиків витоку даних.
Уразливість являє собою випадок зловживання транзитивним доступом, коли несанкціонований доступ отримують побічно через довіреного посередника - у цьому випадку, сервісного агента. Навіть якщо клієнти не використовують Document AI, вони все одно вразливі, якщо сервіс може бути увімкнений зловмисником із достатніми повноваженнями, такими як можливість створювати або змінювати процесори. У звіті наголошується, що це викликає серйозні побоювання у клієнтів Google Cloud, оскільки вразливість впливає на безпеку даних на фундаментальному рівні, вимагаючи негайної уваги та посилення політик контролю доступу.
Зазвичай, коли компанія, що займається кібербезпекою, публікує подробиці про вразливість, за цим слідує розв'язання цієї проблеми, але, як не дивно, в цьому випадку це не так.
Компанія Vectra AI повідомила про проблему в Google у рамках програми Google Vulnerability Reward Program 4 квітня, але, попри кілька місяців досліджень, спрямованих на виявлення першопричини проблеми та пропозицію рішення, Google, як стверджується у звіті, «поки що не визначилася, чи буде вона класифікувати цю проблему як “Працює як годиться” або як “Вразливість”, і не внесла жодних змін у сервіс».
Компанія Vectra AI повідомила Google, що має намір оприлюднити інформацію про вразливість 2 липня, але публікація відбулася тільки тепер.
Дослідники попереджають, що вразливість зачіпає всіх клієнтів Google Cloud, якщо вони не запобігають увімкненню сервісу Document AI і його використанню за допомогою обмежень організаційної політики. Крім того, замовнику не обов'язково використовувати Document AI, щоб бути зачепленим.
Організаціям, що використовують Google Cloud, рекомендується негайно вжити заходів щодо відключення сервісу, якщо він не є необхідним для їхньої роботи. Впровадження суворих політик управління ідентифікацією та доступом для обмеження дозволів і використання організаційних обмежень для блокування включення Document AI також може значно знизити ризик.
Про DCIM у забезпеченні успішної роботи ІТ-директора
0 |