谷歌向黑客二人组支付2.2万美元赏金，奖励其在多个云项目中发现的漏洞

Adam Bannister
2023年1月19日 16:29 UTC

谷歌向一对安全研究人员支付了超过22,000美元的漏洞赏金，奖励他们在四个Google Cloud Platform（GCP）项目中发现的漏洞。

对于黑客二人组Sreeram KL和Sivanesh Ashok来说，最赚钱的项目是机器学习训练和部署平台Vertex AI。他们因发现一个服务器端请求伪造（SSRF）漏洞及随后的补丁绕过而获得了两次5,000美元的赏金。

Sreeram在一篇博客文章中记录了该漏洞，该漏洞存在于Vertex AI的Workbench功能中，该功能允许在云上创建基于Jupyter Notebook的开发环境。通过滥用SSRF漏洞并诱骗受害者点击恶意URL，攻击者可能夺取授权令牌的控制权，进而控制受害者的所有GCP项目，如下方视频所示。

SSRF漏洞

当研究人员发现一个似乎存在SSRF漏洞的URL时，“请求原始URL的响应看起来像是发送到compute.googleapis.com的认证请求的输出，”Sreeram说。“根据以往经验，我知道这些端点使用授权头进行凭据验证。”

模糊测试发现了一个URL——https://{INSTANCE-ID}-dot-us-central1.notebooks.googleusercontent.com/aipn/v2/proxy/{attacker.com}/compute.googleapis.com/——可以绕过这一检查，Sreeram表示。“此外，该漏洞端点是一个没有CSRF保护的GET请求（这很常见）。”

至于寻找攻击目标，受害者的子域名很容易确定，因为子域名在一般应用流程中通过referer泄露给了多个第三方域名，例如github.com。

谷歌通过为GET端点添加跨站请求伪造（CSRF）保护并改进域验证来解决该问题。

补丁绕过

然而，在修复推出后，Sreeram和Ashok注意到，将compute.googleapis.com更改为something.google.com并未像之前那样触发错误。因此，他们推测绕过修复需要在*.google.com中存在开放重定向。

由于服务器不解析JavaScript，基于JavaScript的重定向不可行，他们转向了Google的FeedBurner网络订阅管理服务。研究人员发现，当用户停用代理时，该服务会将URL重定向到其域名，而不是代理其RSS订阅。

漏洞利用最终通过CSRF绕过完成，该技术利用了2020年由“@s1r1us”针对Jupyter Lab开发的方法。第二次修复涉及停止对*.google.com作为代理URL的支持。

“在发现这一问题的过程中，我们深入了解了托管GCP产品的工作原理，这帮助我们发现了GCP中的其他漏洞，”Sreeram告诉The Daily Swig。

Theia、Compute Engine、Workstations漏洞

这包括在Theia中再次利用Workbench功能，Theia是谷歌在Cloud Shell中使用的集成开发环境（IDE），正如Sreeram在另一篇博客文章中所披露的。

由于用户管理的实例使用了项目的默认计算引擎服务账户，研究二人组能够通过利用一个已知的XSS漏洞（CVE-2021-41038）从元数据服务器获取服务账户令牌，从而危及整个项目。这为他们赢得了额外的3,133.70美元赏金。

他们在GCP中发现的第一个安全漏洞，由Ashok记录，是Google Cloud Compute Engine中的一个SSH密钥注入问题。该漏洞位于浏览器内SSH功能中，可能导致受害者的Compute Engine实例中的远程代码执行（RCE），为他们带来了5,000美元的赏金和1,000美元的奖金。

研究人员还因在Cloud Workstations中发现授权绕过而获得了额外的3,133.70美元赏金，Cloud Workstations为安全敏感企业提供完全托管的开发环境。Ashok在第四篇博客文章中概述了这一发现。

二人从六次独立的漏洞赏金支付中总共获得了22,267美元。

The Daily Swig已邀请谷歌对这些漏洞发表评论，但尚未收到回复。如有变化，我们将更新文章。