Abo
  • Services:

Borg: Sicherheitsforscher dringt in internes Google-Netz vor

Durch das Ausnutzen einer Sicherheitslücke konnte ein Forscher bis in Googles internes Netz vordringen und dort auf die Cluster-Verwaltung Borg zugreifen. Die Lücke ist geschlossen, der Forscher hat eine Prämie von Google erhalten.

Artikel veröffentlicht am ,
Die internen Verbindungen von Google nutzen offenbar nicht immer eine Authentifizierung.
Die internen Verbindungen von Google nutzen offenbar nicht immer eine Authentifizierung. (Bild: Marcin Wichary, flickr.com/CC-BY 2.0)

Der Sicherheitsforscher Enguerran Gillier beschreibt in seinem Blog eine Sicherheitslücke auf Servern von Google, die es ihm ermöglichte, bis in das interne Netz des Unternehmens vorzudringen und Zugriff auf die Status-Verwaltung sogenannter Borglets zu erhalten. Die Borglets repräsentieren in Googles hauseigener Cluster-Verwaltung Borg je einen physischen Server. Borg diente den Google-Entwicklern des freien Kubernetes als ideelles Vorbild.

Stellenmarkt
  1. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf
  2. Robert Bosch GmbH, Stuttgart

Gillier schreibt, dass er bereits vor mehreren Monaten eine XSS-Lücke in Google Caja gefunden habe, das dazu dient, HTML und Javascript sicher in eigene Seiten einzubetten. Da Google Sites später noch eine ungepatchte Version von Caja nutzte, überprüfte Gillier diese auch auf seine XSS-Lücke. Dabei fiel ihm auf, dass der Caja-Server von Google Sites keine beliebigen externen Ressourcen lädt, sondern nur Ressourcen von Google selbst.

Der Server liefert interne Inhalte

Allerdings, so schreibt Gillier, ist es dank Googles Cloud-Diensten "sehr einfach, beliebigen Code auf Google-Servern zu hosten und auszuführen". Der Forscher hostete daraufhin eine Javascript-Datei auf Googles App Engine, verwies in der Google-Sites-Webseite darauf und Caja besorgte sich diese Datei wie gewünscht. Die Log-Dateien der App Engine zeigten jedoch, dass Caja dazu über eine private IP-Adresse des internen Netzes von Google auf die Datei zugegriffen hatte.

Weiter schreibt der Forscher, dass er diese private IP-Adresse wiederum auf seiner Google-Sites-Webseite als externe Ressource eingetragen habe und Caja lieferte tatsächlich die Inhalte, die auf der privaten IP-Adresse gehostet worden sind. Diese Art Angriff wird Server Side Request Forgery (SSRF) genannt.

So habe Gillier wie erwähnt Zugriff auf die Server-Status-Verwaltung einzelner Borglets erhalten. Darüber konnte Gillier auch einzelne Prozessor-Jobs einsehen. Demnach liefen auf diesen Servern sämtliche bekannten Google-Werkzeuge wie etwa Mapreduce oder GFS. Ebenso nutze Borg analog zu Kubernetes natürlich Container und Google setze auch hier auf Gvisor.

Gillier verweist darüber hinaus explizit darauf, dass der Zugriff auf die Borglet-Verwaltung keine Authentifizierung nutze und der Forscher nur deshalb aus dem SSRF-Angriff auch erfolgreich Informationen ableiten konnte. Der Zugriff auf weitere Dateien oder gar das Ausführen von Code auf Googles internen Servern gelang dem Forscher jedoch nicht. Die Lücke sei von Google innerhalb von nur etwa zwei Tagen im Laufe eines Wochenendes geschlossen worden. Gillier hat eine Prämie für das Melden der Lücke erhalten.



Anzeige
Top-Angebote
  1. (heute u. a. JBL E50BT Over-ear Kopfhörer 49,00€ statt 149,00€)
  2. 159€
  3. (u. a. Samsung U28E590D für 240,19€ mit Gutschein: NBBSAMSUNGMONITOR und Acer KG271 für 205...

Marco22 24. Jul 2018

Klar, nicht sehr schwerwiegend. Aber so wie ich es dem Bericht entnommen habe, konnte er...


Folgen Sie uns
       


Google Pixel 3 und Pixel 3 XL - Hands on

Google hat die neuen Pixel-Smartphones vorgestellt. Das Pixel 3 und das Pixel 3 XL haben vor allem Verbesserungen bei den Kamerafunktionen erhalten. Anfang November kommen beide Geräte zu Preisen ab 850 Euro auf den Markt.

Google Pixel 3 und Pixel 3 XL - Hands on Video aufrufen
Pixel 3 und Pixel 3 XL im Hands on: Googles Smartphones mit verbesserten Kamerafunktionen
Pixel 3 und Pixel 3 XL im Hands on
Googles Smartphones mit verbesserten Kamerafunktionen

Google hat das Pixel 3 und das Pixel 3 XL vorgestellt. Bei beiden neuen Smartphones legt das Unternehmen besonders hohen Wert auf die Kamerafunktionen. Mit viel Software-Raffinessen sollen gute Bilder auch unter widrigen Umständen entstehen. Die ersten Eindrücke sind vielversprechend.
Ein Hands on von Ingo Pakalski

  1. BQ Aquaris X2 Pro im Hands on Ein gelungenes Gesamtpaket mit Highend-Funktionen

Lichtverschmutzung: Was Philips Hue mit der Tierwelt im Garten macht
Lichtverschmutzung
Was Philips Hue mit der Tierwelt im Garten macht

LEDs für den Garten sind energiesparend und praktisch - für Menschen und manche Fledermäuse. Für viele Tiere haben sie jedoch fatale Auswirkungen. Aber mit einigen Änderungen lässt sich die Gartenbeleuchtung so gestalten, dass sich auch Tiere wohlfühlen.
Ein Bericht von Werner Pluta

  1. Play und Signe Neue farbige Philips-Hue-Leuchten für indirektes Licht
  2. Smart Home Weitere Hue-Leuchten fürs Badezimmer vorgestellt
  3. Badezimmerspiegel Philips Hue kommt ins Bad

Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

    •  /