Abo
  • Services:

Borg: Sicherheitsforscher dringt in internes Google-Netz vor

Durch das Ausnutzen einer Sicherheitslücke konnte ein Forscher bis in Googles internes Netz vordringen und dort auf die Cluster-Verwaltung Borg zugreifen. Die Lücke ist geschlossen, der Forscher hat eine Prämie von Google erhalten.

Artikel veröffentlicht am ,
Die internen Verbindungen von Google nutzen offenbar nicht immer eine Authentifizierung.
Die internen Verbindungen von Google nutzen offenbar nicht immer eine Authentifizierung. (Bild: Marcin Wichary, flickr.com/CC-BY 2.0)

Der Sicherheitsforscher Enguerran Gillier beschreibt in seinem Blog eine Sicherheitslücke auf Servern von Google, die es ihm ermöglichte, bis in das interne Netz des Unternehmens vorzudringen und Zugriff auf die Status-Verwaltung sogenannter Borglets zu erhalten. Die Borglets repräsentieren in Googles hauseigener Cluster-Verwaltung Borg je einen physischen Server. Borg diente den Google-Entwicklern des freien Kubernetes als ideelles Vorbild.

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln

Gillier schreibt, dass er bereits vor mehreren Monaten eine XSS-Lücke in Google Caja gefunden habe, das dazu dient, HTML und Javascript sicher in eigene Seiten einzubetten. Da Google Sites später noch eine ungepatchte Version von Caja nutzte, überprüfte Gillier diese auch auf seine XSS-Lücke. Dabei fiel ihm auf, dass der Caja-Server von Google Sites keine beliebigen externen Ressourcen lädt, sondern nur Ressourcen von Google selbst.

Der Server liefert interne Inhalte

Allerdings, so schreibt Gillier, ist es dank Googles Cloud-Diensten "sehr einfach, beliebigen Code auf Google-Servern zu hosten und auszuführen". Der Forscher hostete daraufhin eine Javascript-Datei auf Googles App Engine, verwies in der Google-Sites-Webseite darauf und Caja besorgte sich diese Datei wie gewünscht. Die Log-Dateien der App Engine zeigten jedoch, dass Caja dazu über eine private IP-Adresse des internen Netzes von Google auf die Datei zugegriffen hatte.

Weiter schreibt der Forscher, dass er diese private IP-Adresse wiederum auf seiner Google-Sites-Webseite als externe Ressource eingetragen habe und Caja lieferte tatsächlich die Inhalte, die auf der privaten IP-Adresse gehostet worden sind. Diese Art Angriff wird Server Side Request Forgery (SSRF) genannt.

So habe Gillier wie erwähnt Zugriff auf die Server-Status-Verwaltung einzelner Borglets erhalten. Darüber konnte Gillier auch einzelne Prozessor-Jobs einsehen. Demnach liefen auf diesen Servern sämtliche bekannten Google-Werkzeuge wie etwa Mapreduce oder GFS. Ebenso nutze Borg analog zu Kubernetes natürlich Container und Google setze auch hier auf Gvisor.

Gillier verweist darüber hinaus explizit darauf, dass der Zugriff auf die Borglet-Verwaltung keine Authentifizierung nutze und der Forscher nur deshalb aus dem SSRF-Angriff auch erfolgreich Informationen ableiten konnte. Der Zugriff auf weitere Dateien oder gar das Ausführen von Code auf Googles internen Servern gelang dem Forscher jedoch nicht. Die Lücke sei von Google innerhalb von nur etwa zwei Tagen im Laufe eines Wochenendes geschlossen worden. Gillier hat eine Prämie für das Melden der Lücke erhalten.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

Marco22 24. Jul 2018

Klar, nicht sehr schwerwiegend. Aber so wie ich es dem Bericht entnommen habe, konnte er...


Folgen Sie uns
       


Royole Flexpai - Hands on (CES 2019)

Das Flexpai von Royole ist das erste kommerziell erhältliche Smartphone mit faltbarem Display. Ein erster Kurztest des Gerätes zeigt, dass es noch einige Probleme mit der Software hat.

Royole Flexpai - Hands on (CES 2019) Video aufrufen
Schwerlastverkehr: Oberleitung - aber richtig!
Schwerlastverkehr
Oberleitung - aber richtig!

Der Schwerlast- und Lieferverkehr soll stärker elektrifiziert werden. Dafür sollen kilometerweise Oberleitungen entstehen. Dass Geld auf diese Weise in LKW statt in die Bahn zu stecken, ist aber völlig irrsinnig!
Ein IMHO von Sebastian Grüner

  1. Elektromobilität Toyota und Panasonic wollen Akkus für Elektroautos bauen
  2. Ducati-Chef Die Zukunft des Motorrads ist elektrisch
  3. Softwarefehler Lime-Tretroller werfen Fahrer ab

Datenschutz: Nie da gewesene Kontrollmacht für staatliche Stellen
Datenschutz
"Nie da gewesene Kontrollmacht für staatliche Stellen"

Zur G20-Fahndung nutzt Hamburgs Polizei eine Software, die Gesichter von Hunderttausenden speichert. Schluss damit, sagt der Datenschutzbeauftragte - und wird ignoriert.
Ein Interview von Oliver Hollenstein

  1. Brexit-Abstimmung IT-Wirtschaft warnt vor Datenchaos in Europa
  2. Österreich Post handelt mit politischen Einstellungen
  3. Digitalisierung Bär stößt Debatte um Datenschutz im Gesundheitswesen an

Bright Memory angespielt: Brachialer PC-Shooter aus China
Bright Memory angespielt
Brachialer PC-Shooter aus China

Nur ein Entwickler und lediglich eine Stunde Spielzeit - trotzdem wischt das nur rund 6 Euro teure und ausschließlich für Windows-PC erhältliche Bright Memory mit vielen Vollpreisspielen den Boden. Selbst die vollständig chinesische Sprachausgabe stört fast nicht.

  1. Strange Brigade angespielt Feuergefechte mit Mumien und Monstern

    •  /