Aggiornamenti recenti Settembre 2nd, 2025 4:53 PM
Set 18, 2024 Marina Londei Approfondimenti, In evidenza, Minacce, RSS, Vulnerabilità 0
Negli ultimi tempi gli abusi “transitivi” di accesso, cioè quelli ottenuti indirettamente tramite un intermediario di fiducia, si stanno diffondendo, allarmando li esperti di cybersecurity.
Del problema si è occupato anche Kat Traxler, Principal Security Researcher di Vectra AI, il quale ha pubblicato una ricerca su questo tipo di abusi all’interno di Google Cloud, spiegando che il servizio Document AI consente agli utenti di leggere qualsiasi oggetto Cloud Storage nello stesso progetto.
Pixabay
Il servizio si occupa di estrarre informazioni da documenti non strutturati. L’agente che si occupa di raccogliere i dati e di fornire i risultati in output possiede dei permessi molto estesi che gli consentono di accedere a qualsiasi bucket Cloud Storage dello stesso progetto. Anche se l’utente che esegue il servizio Document AI ha dei permessi limitati, l’agente che materialmente esegue il processo non rispetta questi limiti e consente attacchi di data exfiltration.
“Sfruttare il servizio (e la sua identità) per esfiltrare i dati costituisce un abuso transitivo di accesso che aggira i controlli di accesso previsti e compromette la riservatezza dei dati” spiega Traxler.
Per sfruttare l’exploit, un attaccante deve sfruttare un processo di Document AI già esistente sul dispositivo o ottenere i permessi di creazione per aggiungerne uno che gli permetta di leggere dai bucket. Se invece Document AI non è mai stato usato in qualche progetto, l’attaccante deve prima abilitare il servizio; una volta abilitato Document AI, si ottiene in automatico il ruolo “project-level” che consente di procedere con l’attacco.
Il team di Vectra AI ha notificato il problema a Google il 4 aprile tramite il Vulnerability Report Program e, dopo mesi di analisi, la compagnia ha confermato l’esistenza della vulnerabilità, classificandola di categoria S2C, ovvero “bypass di controlli di sicurezza centrali”.
Inizialmente Google aveva comunicato a Traxler che la vulnerabilità non poteva essere considerata parte del Vulnerability Reward Program: “a una prima analisi, il problema non sembra abbastanza grave da qualificarsi per un premio” aveva scritto la compagnia al ricercatore. In seguito, Google è tornata sui suoi passi e ha deciso di considerare il bug valido per il programma di ricompensa.
“Google ha fatto retromarcia sulla sua decisione di non fornire una ricompensa, citando ‘documentazione insufficiente o incorretta’ come causa. La proposta di bug è stata ora classificata come ‘bypass di controlli di sicurezza centrali’ ed è stata definita una ricompensa. Non c’è indicazione del quando o del come il problema verrà risolto” ha spiegato Traxler.
La vulnerabilità colpisce tutti i clienti Google Cloud, anche se non utilizzano Document AI. Al momento Google non ha rilasciato dei fix per risolvere il problema, ma gli utenti possono mitigare i rischi usando il servizio in progetti isolati e segmentati e circsoscrivendo l’uso di Document AI e delle sue API, abilitandole solo quando è necessario.
Ago 22, 2025 0
Lug 22, 2025 0
Mag 22, 2025 0
Feb 06, 2025 0
Set 02, 2025 0
Set 01, 2025 0
Ago 29, 2025 0
Ago 27, 2025 0
Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Ago 04, 2025 0
I chatbot basati su modelli linguistici di grandi...Lug 29, 2025 0
Tra le minacce più recenti che stanno facendo tremare il...Lug 17, 2025 0
Gli attacchi DDoS, compresi quelli ipervolumetrici,...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 02, 2025 0
Lo scorso 20 agosto Salesloft aveva avvertito di un...Set 01, 2025 0
Qualche giorno fa la Counter Threat Unit di Sophos ha...Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 27, 2025 0
Google ha deciso di aumentare la sicurezza dei dispositivi...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...