網(wǎng)絡(luò)安全研究人員近日披露了Google云平臺(tái)（GCP）中一個(gè)已修復(fù)的高危漏洞，該漏洞可能允許攻擊者在基于Apache Airflow的Cloud Composer工作流編排服務(wù)中提升權(quán)限。

權(quán)限提升漏洞分析

Tenable高級(jí)安全研究員Liv Matan在向The Hacker News提供的報(bào)告中指出："該漏洞使擁有Cloud Composer編輯權(quán)限的攻擊者能夠?qū)⑵湓L(fǎng)問(wèn)權(quán)限提升至默認(rèn)的Cloud Build服務(wù)賬戶(hù)，該賬戶(hù)在GCP服務(wù)（如Cloud Build、Cloud Storage和Artifact Registry）中擁有高級(jí)權(quán)限。"

網(wǎng)絡(luò)安全公司將該漏洞命名為ConfusedComposer，認(rèn)為它是ConfusedFunction漏洞的變種。ConfusedFunction是影響GCP云函數(shù)服務(wù)的權(quán)限提升漏洞，攻擊者可利用該漏洞未經(jīng)授權(quán)訪(fǎng)問(wèn)其他服務(wù)和敏感數(shù)據(jù)。

攻擊原理與影響

攻擊者需要具備Cloud Composer環(huán)境的編輯權(quán)限（即composer.environments.update），才能利用該漏洞注入惡意的Python包索引（PyPI）包，通過(guò)Cloud Build實(shí)現(xiàn)權(quán)限提升。由于Cloud Composer允許用戶(hù)在環(huán)境中安裝自定義PyPI包，攻擊者可通過(guò)惡意包中的安裝腳本在關(guān)聯(lián)的Cloud Build實(shí)例中執(zhí)行任意代碼。

Matan解釋道："ConfusedComposer的重要性在于它揭示了云服務(wù)間后臺(tái)交互如何通過(guò)權(quán)限提升被利用。在此案例中，攻擊者只需擁有更新Cloud Composer環(huán)境的權(quán)限，就能訪(fǎng)問(wèn)Cloud Storage和Artifact Registry等關(guān)鍵GCP服務(wù)。"

成功利用該漏洞可能導(dǎo)致攻擊者竊取敏感數(shù)據(jù)、中斷服務(wù)以及在CI/CD管道中部署惡意代碼，甚至為部署后門(mén)創(chuàng)造條件，從而長(zhǎng)期控制受感染的云環(huán)境。

修復(fù)措施

在Tenable負(fù)責(zé)任的披露后，Google已于2025年4月13日修復(fù)該漏洞，停止使用Cloud Build服務(wù)賬戶(hù)安裝PyPI包。Google在2025年1月15日的公告中表示："將改用環(huán)境的服務(wù)賬戶(hù)。之前使用默認(rèn)Cloud Build服務(wù)賬戶(hù)的現(xiàn)有Cloud Composer 2環(huán)境將改用環(huán)境的服務(wù)賬戶(hù)。"

其他云服務(wù)漏洞

與此同時(shí)，Varonis Threat Labs發(fā)現(xiàn)微軟Azure存在一個(gè)漏洞，可能導(dǎo)致?lián)碛蠥zure SQL Server特權(quán)訪(fǎng)問(wèn)權(quán)限的攻擊者通過(guò)修改配置，在管理員操作時(shí)造成數(shù)據(jù)丟失。微軟在2024年8月5日獲知該問(wèn)題后，已于2025年4月9日完全修復(fù)。

Datadog Security Labs還披露了微軟Entra ID受限管理單元中的一個(gè)漏洞，攻擊者可利用該漏洞阻止全局管理員修改、刪除或禁用選定用戶(hù)。微軟已于2025年2月22日修復(fù)該問(wèn)題。

近期，威脅行為者還瞄準(zhǔn)了托管在AWS EC2實(shí)例上的網(wǎng)站，利用服務(wù)器端請(qǐng)求偽造（SSRF）漏洞提取元數(shù)據(jù)信息。F5 Labs研究員Merlyn Albery-Speyer指出："EC2實(shí)例元數(shù)據(jù)是AWS提供的一項(xiàng)功能，允許EC2實(shí)例在運(yùn)行時(shí)訪(fǎng)問(wèn)所需信息，而無(wú)需進(jìn)行身份驗(yàn)證或調(diào)用外部API。這可能暴露公網(wǎng)/私網(wǎng)IP地址、實(shí)例ID和IAM角色憑證等攻擊者感興趣的敏感數(shù)據(jù)。"