Google Cloud Platform 出现 ConfusedFunction 漏洞，威胁未授权访问

关键要点

Google Cloud Platform 的 Cloud Functions 服务出现了新的“ConfusedFunction”权限提升漏洞。攻击者可通过此漏洞访问其它 Google Cloud 服务如 Container Registry、Cloud Storage 和 Artifact Registry。尽管 Google 采取措施确保 Cloud Build 使用计算引擎的默认服务账户以防止被攻击，问题依然存在。Tenable 研究人员强调，软件复杂性和服务间的通信可能导致问题。

一种新的安全漏洞“ConfusedFunction”漏洞，可能被威胁行为者利用，以未授权访问 Google Cloud PlatformGCP上的其他服务和数据。根据 The Hacker News 的报道，此漏洞出现在 GCP 的 Cloud Functions 服务中。

clash怎么用

此安全问题源于在创建或更新 Cloud Function 时，后台会自动生成一个 Cloud Build 服务账户，并默认与 Cloud Build 实例连接。攻击者能够利用这一点 infiltrate 其他 Google Cloud 服务，包括 Container Registry、Cloud Storage 和 Artifact Registry。此漏洞由 Tenable 研究人员发现并报告。尽管 Google 已确保 Cloud Build 使用计算引擎的默认服务账户以防止受到攻击，Tenable 研究员 Liv Matan 表示，这一修复并未完全解决问题，仍需保持最低限度的广泛 Cloud Build 服务账户权限。

“ConfusedFunction 漏洞突显了由于软件复杂性和云服务提供商服务中的服务间通信而可能出现的问题场景，”Matan 说。

漏洞名称类型影响服务ConfusedFunction权限提升漏洞Google Cloud FunctionsContainer RegistryCloud StorageArtifact Registry

总之，虽然 Google 正在采取措施提高云服务的安全性，但“ConfusedFunction”漏洞的存在再一次揭示了在快速发展的云计算环境中，安全性必须始终是设计和操作的核心考虑。