Borg: Sicherheitsforscher dringt in internes Google-Netz vor

Durch das Ausnutzen einer Sicherheitslücke konnte ein Forscher bis in Googles internes Netz vordringen und dort auf die Cluster-Verwaltung Borg zugreifen. Die Lücke ist geschlossen, der Forscher hat eine Prämie von Google erhalten.

Artikel veröffentlicht am ,
Die internen Verbindungen von Google nutzen offenbar nicht immer eine Authentifizierung.
Die internen Verbindungen von Google nutzen offenbar nicht immer eine Authentifizierung. (Bild: Marcin Wichary, flickr.com/CC-BY 2.0)

Der Sicherheitsforscher Enguerran Gillier beschreibt in seinem Blog eine Sicherheitslücke auf Servern von Google, die es ihm ermöglichte, bis in das interne Netz des Unternehmens vorzudringen und Zugriff auf die Status-Verwaltung sogenannter Borglets zu erhalten. Die Borglets repräsentieren in Googles hauseigener Cluster-Verwaltung Borg je einen physischen Server. Borg diente den Google-Entwicklern des freien Kubernetes als ideelles Vorbild.

Gillier schreibt, dass er bereits vor mehreren Monaten eine XSS-Lücke in Google Caja gefunden habe, das dazu dient, HTML und Javascript sicher in eigene Seiten einzubetten. Da Google Sites später noch eine ungepatchte Version von Caja nutzte, überprüfte Gillier diese auch auf seine XSS-Lücke. Dabei fiel ihm auf, dass der Caja-Server von Google Sites keine beliebigen externen Ressourcen lädt, sondern nur Ressourcen von Google selbst.

Der Server liefert interne Inhalte

Allerdings, so schreibt Gillier, ist es dank Googles Cloud-Diensten "sehr einfach, beliebigen Code auf Google-Servern zu hosten und auszuführen". Der Forscher hostete daraufhin eine Javascript-Datei auf Googles App Engine, verwies in der Google-Sites-Webseite darauf und Caja besorgte sich diese Datei wie gewünscht. Die Log-Dateien der App Engine zeigten jedoch, dass Caja dazu über eine private IP-Adresse des internen Netzes von Google auf die Datei zugegriffen hatte.

Weiter schreibt der Forscher, dass er diese private IP-Adresse wiederum auf seiner Google-Sites-Webseite als externe Ressource eingetragen habe und Caja lieferte tatsächlich die Inhalte, die auf der privaten IP-Adresse gehostet worden sind. Diese Art Angriff wird Server Side Request Forgery (SSRF) genannt.

So habe Gillier wie erwähnt Zugriff auf die Server-Status-Verwaltung einzelner Borglets erhalten. Darüber konnte Gillier auch einzelne Prozessor-Jobs einsehen. Demnach liefen auf diesen Servern sämtliche bekannten Google-Werkzeuge wie etwa Mapreduce oder GFS. Ebenso nutze Borg analog zu Kubernetes natürlich Container und Google setze auch hier auf Gvisor.

Gillier verweist darüber hinaus explizit darauf, dass der Zugriff auf die Borglet-Verwaltung keine Authentifizierung nutze und der Forscher nur deshalb aus dem SSRF-Angriff auch erfolgreich Informationen ableiten konnte. Der Zugriff auf weitere Dateien oder gar das Ausführen von Code auf Googles internen Servern gelang dem Forscher jedoch nicht. Die Lücke sei von Google innerhalb von nur etwa zwei Tagen im Laufe eines Wochenendes geschlossen worden. Gillier hat eine Prämie für das Melden der Lücke erhalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Madison Square Garden
Gesichtserkennungs-Software weist unliebsame Besucher ab

Im New Yorker Madison Square Garden kommt seit Jahren Gesichtserkennungs-Software zum Einsatz - mit unangenehmen Folgen für Kanzleimitarbeiter.

Madison Square Garden: Gesichtserkennungs-Software weist unliebsame Besucher ab
Artikel
  1. Bluebrixx Klingon Bird-of-Prey 104584: Worf wäre stolz auf dieses Star-Trek-Set
    Bluebrixx Klingon Bird-of-Prey 104584
    Worf wäre stolz auf dieses Star-Trek-Set

    Auch wenn die Steinequalität nicht an Lego heranreicht, macht der Bird-of-Prey die Weiten der Sammelvitrine unsicher - Qapla', Bluebrixx!
    Ein Test von Oliver Nickel

  2. Verbraucherschutz: FTC soll Kartellklage gegen Amazon vorbereiten
    Verbraucherschutz
    FTC soll Kartellklage gegen Amazon vorbereiten

    Die US-Vebraucherschutzbehörde FTC soll an einer möglichen Klage gegen Amazon arbeiten. Grund sind Kartellvorwürfe gegen das Tech-Unternehmen.

  3. Plattform oder Dienst betreiben: Macht es wie die Maurer!
    Plattform oder Dienst betreiben
    Macht es wie die Maurer!

    Warum man die Operationalisierung einer Plattform nicht zu sehr aufblasen sollte, man durch Silodenken aber viel anfälliger für Ausfälle wird.
    Ein Ratgebertext von Felix Uelsmann

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Roccat Magma + Burst Pro 59€ • Roccat Vulcan 121 89,99€ • Gigabyte B650 Gaming X AX 185,99€ • Alternate: Toshiba MG10 20 TB 299€ • Alternate Weekend Sale • MindStar: Fastro MS200 SSD 2TB 95€ • Mindfactory DAMN-Deals: Grakas, CPUs & Co. • RAM-Tiefstpreise • PCGH Cyber Week [Werbung]
    •  /