• IT-Karriere:
  • Services:

Borg: Sicherheitsforscher dringt in internes Google-Netz vor

Durch das Ausnutzen einer Sicherheitslücke konnte ein Forscher bis in Googles internes Netz vordringen und dort auf die Cluster-Verwaltung Borg zugreifen. Die Lücke ist geschlossen, der Forscher hat eine Prämie von Google erhalten.

Artikel veröffentlicht am ,
Die internen Verbindungen von Google nutzen offenbar nicht immer eine Authentifizierung.
Die internen Verbindungen von Google nutzen offenbar nicht immer eine Authentifizierung. (Bild: Marcin Wichary, flickr.com/CC-BY 2.0)

Der Sicherheitsforscher Enguerran Gillier beschreibt in seinem Blog eine Sicherheitslücke auf Servern von Google, die es ihm ermöglichte, bis in das interne Netz des Unternehmens vorzudringen und Zugriff auf die Status-Verwaltung sogenannter Borglets zu erhalten. Die Borglets repräsentieren in Googles hauseigener Cluster-Verwaltung Borg je einen physischen Server. Borg diente den Google-Entwicklern des freien Kubernetes als ideelles Vorbild.

Stellenmarkt
  1. ARD ZDF Deutschlandradio Beitragsservice, Köln
  2. KBV Kassenärztliche Bundesvereinigung, Berlin

Gillier schreibt, dass er bereits vor mehreren Monaten eine XSS-Lücke in Google Caja gefunden habe, das dazu dient, HTML und Javascript sicher in eigene Seiten einzubetten. Da Google Sites später noch eine ungepatchte Version von Caja nutzte, überprüfte Gillier diese auch auf seine XSS-Lücke. Dabei fiel ihm auf, dass der Caja-Server von Google Sites keine beliebigen externen Ressourcen lädt, sondern nur Ressourcen von Google selbst.

Der Server liefert interne Inhalte

Allerdings, so schreibt Gillier, ist es dank Googles Cloud-Diensten "sehr einfach, beliebigen Code auf Google-Servern zu hosten und auszuführen". Der Forscher hostete daraufhin eine Javascript-Datei auf Googles App Engine, verwies in der Google-Sites-Webseite darauf und Caja besorgte sich diese Datei wie gewünscht. Die Log-Dateien der App Engine zeigten jedoch, dass Caja dazu über eine private IP-Adresse des internen Netzes von Google auf die Datei zugegriffen hatte.

Weiter schreibt der Forscher, dass er diese private IP-Adresse wiederum auf seiner Google-Sites-Webseite als externe Ressource eingetragen habe und Caja lieferte tatsächlich die Inhalte, die auf der privaten IP-Adresse gehostet worden sind. Diese Art Angriff wird Server Side Request Forgery (SSRF) genannt.

So habe Gillier wie erwähnt Zugriff auf die Server-Status-Verwaltung einzelner Borglets erhalten. Darüber konnte Gillier auch einzelne Prozessor-Jobs einsehen. Demnach liefen auf diesen Servern sämtliche bekannten Google-Werkzeuge wie etwa Mapreduce oder GFS. Ebenso nutze Borg analog zu Kubernetes natürlich Container und Google setze auch hier auf Gvisor.

Gillier verweist darüber hinaus explizit darauf, dass der Zugriff auf die Borglet-Verwaltung keine Authentifizierung nutze und der Forscher nur deshalb aus dem SSRF-Angriff auch erfolgreich Informationen ableiten konnte. Der Zugriff auf weitere Dateien oder gar das Ausführen von Code auf Googles internen Servern gelang dem Forscher jedoch nicht. Die Lücke sei von Google innerhalb von nur etwa zwei Tagen im Laufe eines Wochenendes geschlossen worden. Gillier hat eine Prämie für das Melden der Lücke erhalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Samsung 860 EVO 1 TB für 85€)
  2. (u. a. Samsung 860 EVO 1 TB für 85€)
  3. 85€ (Bestpreis mit MediaMarkt/Saturn. Vergleichspreis 99,99€)
  4. 69,90€ + Versand (Vergleichspreis ca. 103€)

Marco22 24. Jul 2018

Klar, nicht sehr schwerwiegend. Aber so wie ich es dem Bericht entnommen habe, konnte er...


Folgen Sie uns
       


Samsung Galaxy S21 Ultra vorgestellt

Das Galaxy S21 Ultra ist das Topmodell von Samsungs neuer S21-Reihe und unterscheidet sich deutlich von den beiden anderen Modellen.

Samsung Galaxy S21 Ultra vorgestellt Video aufrufen
    •  /