谷歌云平臺（GCP）出現漏洞或影響百萬服務器

谷歌云平臺（GCP）近日修復了一個嚴重漏洞，該漏洞可能對數百萬客戶的云服務器構成威脅。根據Tenable公司的研究人員揭示的這一問題，被稱為“CloudImposer”的漏洞，允許攻擊者通過部署單個惡意代碼包，實施遠程代碼執行（RCE）攻擊，這一發現于9月19日的報告中首次公布。

漏洞存在于GCP的Cloud Composer服務中，該服務專門用于編排軟件管道，此外，它也影響了Google的App Engine和Cloud Function等其他服務。Tenable指出，該漏洞引發了一個名為“依賴混淆”的安全隱患，這種攻擊方式雖然在2021年就已被發現，但對于包括云服務提供商在內的多個行業仍然存在廣泛的誤解。

依賴混淆攻擊的原理是，攻擊者創建一個惡意軟件包，并賦予其與合法內部包相同的名稱，然后將其發布到公共存儲庫中。當開發者的系統錯誤地拉取了這個惡意包而非預期的內部包時，攻擊者便能夠借此訪問系統，造成未經授權的代碼執行或數據泄露。Tenable公司的高級安全研究員Liv Matan指出，盡管云服務提供商如谷歌具備先進的技術，但對于如何識別和預防依賴混淆攻擊的意識依然不足。

Matan進一步解釋說，在云服務中，惡意包的影響可以迅速擴散，導致數百萬用戶受到威脅。因此，GCP中一個小的配置錯誤可能導致攻擊者輕松進入客戶的云環境，這種潛在的連鎖反應讓人擔憂。這一漏洞的線索源于谷歌關于GCP與Python軟件基金會的文檔，其中提到在云部署中可能出現依賴混淆的風險。Tenable研究人員發現，谷歌自己在GCP的應用中也不小心采納了這一風險建議。谷歌建議用戶在使用私有Python包時加入“--extra-index-url”參數，這一做法本質上讓攻擊者有機會利用公共注冊表進行攻擊。

在收到報告后，谷歌迅速采取了措施，修復了Cloud Composer中存在的易受攻擊腳本，并檢查了受影響包的校驗和。谷歌還表示，目前沒有證據顯示CloudImposer漏洞已被實際利用。盡管Tenable開發的利用代碼在谷歌內部服務器上運行，但可能不會影響客戶環境，因為它并未通過集成測試。

谷歌還修正了相關文檔，建議客戶使用“--index-url”參數，而非“--extra-index-url”，并推薦使用GCP Artifact Registry的虛擬存儲庫來安全管理Python包的搜索順序。GCP客戶被敦促分析其包安裝過程，以避免潛在的安全漏洞，特別是在使用“--extra-index-url”參數的情況下。

隨著云計算的廣泛普及，這一事件無疑給業界敲響了警鐘。開發者和企業必須加強對依賴關系的管理，確保云環境的安全，以防止類似的供應鏈攻擊再次發生。谷歌的這一漏洞暴露了即便是頂尖科技公司在安全防護方面也可能存在盲點，提醒所有相關方持續關注和改進網絡安全措施。