Bulletins de sécurité

Une faille a été identifiée dans la plate-forme Apigee. Elle aurait pu permettre à une personne malveillante disposant d'autorisations d'administrateur ou de développeur dans son propre environnement Apigee d'élever ses privilèges et d'accéder à des données multi-locataires.

Plus précisément, une faille dans la technologie de bac à sable d'Apigee X permettait d'utiliser un point de terminaison link-local pour accéder aux jetons de compte de service (P4SA) dans un projet de locataire client. En exploitant cette identité, un pirate informatique pourrait théoriquement lire les métadonnées d'analyse ou falsifier les enregistrements de surveillance internes dans d'autres organisations (locataires) Apigee.

Que dois-je faire ?

Aucune action n'est requise de la part du client. Google a mis en place une stratégie d'atténuation à plusieurs niveaux pour résoudre ce problème :

• Atténuation de l'exploitation des jetons : le vecteur d'exploitation du jeton de compte de service Apigee dans les pods d'exécution a été atténué.
• Principe du moindre privilège : les autorisations du compte de service Apigee ont été limitées pour empêcher toute modification non autorisée.
• Isolation des données : l'accès des comptes de service au niveau des dossiers aux buckets Google Cloud Storage mutualisés a été supprimé.

Google a confirmé que, bien que les journaux de surveillance internes soient théoriquement accessibles, ils ne sont utilisés qu'en interne par Google et leur exposition n'a pas d'incidence sur la sécurité ni l'intégrité des données client dans Apigee.

Ce bulletin traite des failles de sécurité potentielles qui pourraient être exploitées si elles n'étaient pas corrigées dans les règles JavaCallout et PythonScript qui ont été découvertes et traitées. Ces règles peuvent entraîner une exécution de code à distance (RCE) et une élévation des privilèges non autorisées dans l'environnement d'exécution Apigee. Ces failles potentielles nécessitent un accès interne autorisé (utilisateurs ayant le privilège de déployer des proxys) pour être exploitées. Ces failles potentielles proviennent d'un sandboxing insuffisant pour des scénarios tels que l'accès par réflexion et l'usurpation d'objets d'autorisation pour contourner le gestionnaire de sécurité.

Produits concernés

L'impact est limité aux règles JavaCallout et PythonScript. Cela inclut les déploiements sur les plates-formes Apigee suivantes :

• Apigee
• Apigee Edge for Public Cloud
• Apigee hybrid
• Apigee Edge pour le cloud privé

Que dois-je faire ?

Pour chaque produit concerné, procédez comme suit :

Apigee

Aucune action n'est requise de la part des clients qui utilisent la version Google Cloud d'Apigee. Des correctifs de failles ont été appliqués à la version 1-14-0-apigee-8 d'Apigee.

Si l'équipe chargée des versions n'est pas en mesure de déployer la version pour vos organisations, un TAM ou un représentant de l'assistance vous contactera pour corriger les bundles de proxy JavaCallout concernés.

Apigee hybrid

Vous devez passer à l'une des versions de correctif de sécurité suivantes :

Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, Apigee Edge pour le cloud public n'est pas exploitable et des mesures d'atténuation sont en place.

Même si cette CVE n'est pas exploitable, Apigee mettra à niveau les charges de travail pour résoudre la CVE ci-dessus.

Que dois-je faire ?

Aucune action n'est requise de la part des utilisateurs Apigee.

Les charges de travail seront corrigées dans les prochains jours. Le bulletin de sécurité sera mis à jour une fois la correction terminée.

Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds de VM. Les clients Edge Private Cloud possèdent et gèrent les VM/hôtes physiques sur lesquels Edge Private Cloud est déployé.

Que dois-je faire ?

Examinez la version d'OpenSSH en exécutant la commande ssh -V et validez la version d'OpenSSH. Si vous exécutez une version OpenSSH concernée, passez à une version qui n'est PAS vulnérable à cette faille CVE. OpenSSH a publié la version 9.8p1 le 1er juillet 2024.

Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds de VM. Les clients Edge Microgateway possèdent et gèrent les VM/hôtes physiques sur lesquels Edge Microgateway est déployé.

Que dois-je faire ?

Veuillez vérifier la version d'OpenSSH en exécutant les commandes ssh -V et valider la version d'OpenSSH. Si vous exécutez une version d'OpenSSH concernée, veuillez passer à une version non vulnérable à cette faille CVE. OpenSSH a publié la version 9.8p1 le 1er juillet 2024.

Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, Apigee n'est pas exploitable et des mesures d'atténuation sont en place.

Même si cette CVE n'est pas exploitable, Apigee mettra à niveau les charges de travail pour résoudre le problème CVE-2024-6387.

Que dois-je faire ?

Aucune action n'est requise de la part des utilisateurs Apigee. Les charges de travail seront corrigées dans les prochains jours. Le bulletin de sécurité sera mis à jour une fois la correction terminée.

Remarque : Si des groupes d'instance gérés sont déployés dans un projet client pour l'équilibrage de charge Northbound, en particulier InternalRouting (VPC) et ExternalRouting (MIG), vérifiez la version OpenSSH installée dessus. Si la version est vulnérable au CVE, mettez à jour vous-même OpenSSH vers la version 9.8p1 publiée le 1er juillet 2024, car Apigee ne gère pas ces MIG.

Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, les images hybrides ne sont pas vulnérables, car OpenSSH n'est inclus dans aucune des images de conteneur hybrides. Toutefois, si l'OS de votre hôte/nœud GKE exécute les versions vulnérables d'OpenSSH ci-dessous, vos clusters hybrides seront exploitables.

Que dois-je faire ?

Ce problème a été résolu dans le bulletin de sécurité GCP-2024-040 de Google Cloud Customer Care.

Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité de GKE sur VMware
• Bulletin de sécurité de GKE sur AWS
• Bulletin de sécurité de GKE sur Azure
• Bulletin de sécurité de GKE on Bare Metal
• AWS : aucune mise à jour n'est disponible pour le moment (au 1er juillet 2024 à 14h22, heure du Pacifique). Consultez la page de leur bulletin pour CVE-2024-6387.
• Azure : aucune mise à jour n'est disponible pour le moment (au 1er juillet 2024 à 14h22, heure du Pacifique). Consultez la page de leur bulletin pour CVE-2024-6387.
• OpenShift: serveur OpenSSH (sshd) [CVE-2024-6387] | Portail client Red Hat

Lorsqu'un proxy de gestion d'API Apigee se connecte à un point de terminaison cible ou à un serveur cible, le proxy n'effectue pas de validation du nom d'hôte pour le certificat présenté par défaut par le point de terminaison cible ou le serveur cible. Si la validation du nom d'hôte n'est pas activée à l'aide de l'une des options suivantes, les proxys Apigee se connectant à un point de terminaison cible ou à un serveur cible peuvent courir le risque d'une attaque MITM ("man in the middle") par un utilisateur autorisé. Pour en savoir plus, consultez la page Configurer TLS de la périphérie au backend (cloud et cloud privé).

Produits concernés

Les déploiements de proxy Apigee sur les plates-formes Apigee suivantes sont concernés :

• Apigee Edge for Public Cloud
• Apigee Edge pour le cloud privé

Que dois-je faire ?

Les clients peuvent utiliser l'une des options suivantes pour activer cette validation :

Option 1 : Ajouter une configuration à votre proxy

Vous pouvez activer la validation de votre point de terminaison cible ou de votre serveur cible en ajoutant une configuration <CommonName> à la section SSLInfo de l'élément <HTTPTargetConnection> de votre configuration de proxy, comme indiqué ci-dessous :

<HTTPTargetConnection>
  <SSLInfo>
    <Enabled>true</Enabled>
    <TrustStore>ref://mytruststoreref</TrustStore>
    <CommonName>*.example.com</CommonName>
  </SSLInfo>
  <URL>https://my.example.com/</URL>
</HTTPTargetConnection>

Si cette configuration est présente dans l'élément <HTTPTargetConnection> de votre configuration de proxy, Apigee utilise la valeur spécifiée dans <CommonName> pour la validation du nom d'hôte. Vous pouvez utiliser des caractères génériques dans ce champ.

Apigee recommande cette approche. Vous pouvez tester les proxys individuellement pour vérifier que la validation fonctionne comme prévu, en minimisant la perturbation potentielle du trafic. Pour en savoir plus sur la manière de tester la validation du nom d'hôte dans vos proxys et l'affichage des erreurs, consultez la page Utiliser l'outil Trace.

Option 2 : Définir une option au niveau de l'organisation

Vous pouvez définir une option au niveau de l'organisation Apigee pour activer la validation du nom d'hôte pour tous les proxys et cibles déployés dans votre organisation. Si l'option features.strictSSLEnforcement est définie sur true dans les propriétés de l'organisation, la validation du nom d'hôte est appliquée chaque fois que le proxy se connecte à un point de terminaison cible ou à un serveur cible.

Remarque : Bien que cette option puisse vous aider à activer la fonctionnalité dans l'ensemble de l'organisation, des échecs de validation du nom d'hôte peuvent se produire si vos cibles ne présentent pas les certificats attendus.

• Pour les déploiements Apigee Edge pour un cloud public :

  Contactez l'assistanceGoogle Cloud pour que l'option features.strictSSLEnforcement soit définie sur true dans les propriétés de l'organisation.

  Remarque : L'activation de cette option applique la vérification SSL à tous les environnements d'une organisation et à tous les proxys déployés dans ces environnements.

• Pour les déploiements Apigee Edge pour un cloud privé :

  L'option features.strictSSLEnforcement peut être définie sur true par l'administrateur de l'organisation ou du système. Pour en savoir plus sur la définition de l'option, consultez la section Mettre à jour les propriétés de l'organisation.

  Remarque : Lorsque vous mettez à jour des options au niveau de l'organisation à l'aide de l'API Organizations, veillez à inclure toutes les options existantes dans votre requête POST afin d'éviter d'écraser les paramètres de configuration précédents.

  Une fois l'option définie, chaque processeur de messages doit être redémarré individuellement pour que la modification soit prise en compte. Exécutez la commande suivante :

  apigee-service edge-message-processor restart

  Pour annuler cette modification, utilisez la même API Organizations pour définir l'option sur false, puis redémarrez chaque processeur de messages.

  Remarque : L'activation de cette option applique la vérification SSL à tous les environnements d'une organisation et à tous les proxys déployés dans ces environnements. Toutefois, si <IgnoreValidationErrors> est défini sur true, toutes les erreurs de validation détectées sont ignorées.

Apigee recommande d'implémenter cette modification en premier lieu dans des environnements hors production, pour s'assurer que la validation fonctionne comme prévu et n'entraîne pas d'interruptions en production. Si la validation du nom d'hôte échoue pour une cible, le message d'erreur suivant est renvoyé :

{"fault":{"faultstring":"SSL Handshake failed java.security.cert.CertificateException: No subject alternative DNS name matching example.com found.","detail":{"errorcode":"messaging.adaptors.http.flow.SslHandshakeFailed"}}}

Mise à jour du 03/11/2023 : ajout du problème connu pour Apigee Edge pour le cloud privé.

Une faille par déni de service (DoS) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), y compris le service Apigee Ingress (Cloud Service Mesh) utilisé par Apigee X et Apigee hybrid. La faille pourrait entraîner un déni de service de la fonctionnalité de gestion d'API Apigee.

Produits concernés

• Apigee X

  Les déploiements d'Apigee X accessibles via un équilibreur de charge réseau Google Cloud (couche 4) ou un équilibreur de charge personnalisé de couche 4 sont affectés. Un correctif a été appliqué à toutes les instances Apigee X.

• Apigee hybrid

  Les instances Apigee hybrid qui permettent aux requêtes HTTP/2 d'atteindre l'entrée Apigee sont affectées. Les clients doivent vérifier si les équilibreurs de charge qui font face à leurs entrées Apigee hybrid permettent aux requêtes HTTP/2 d'atteindre le service Apigee Ingress.

• Apigee Edge pour le cloud privé

  Les composants du routeur et du serveur de gestion Edge for Private Cloud sont exposés sur Internet et peuvent être vulnérables. Bien que HTTP/2 soit activé sur le port de gestion d'autres composants propres à Edge de Edge pour Private Cloud, aucun de ces composants n'est exposé à Internet. Sur les composants autres que Edge, tels que Cassandra, Zookeeper et d'autres, HTTP/2 n'est pas activé. Nous vous recommandons de suivre la procédure décrite dans la section Problèmes connus avec Edge pour le cloud privé pour résoudre la faille Edge pour le cloud privé.

Produits non concernés

• Apigee X

  Les instances Apigee X accessibles uniquement via les équilibreurs de charge d'application Google Cloud(couche 7) ne sont pas affectées. Cela inclut les déploiements pour lesquels HTTP/2 est activé pour les proxys gRPC.

• Google Cloud API Gateway

  La passerelle APIGoogle Cloud n'est pas affectée.

• Apigee Edge Cloud

  Apigee Edge Cloud n'est pas affecté par cette faille.

Que dois-je faire ?

• Apigee X

  Mise à jour du 3 novembre 2023: la faille a été corrigée via la mise à jour des instances Apigee X publiée le 13 octobre 2023. Consultez les notes de version pour plus de détails.

• Apigee hybrid

  Les clients Apigee hybrid devront passer à l'une des versions de correctif suivantes :

  • v1.10.3-hotfix.2 publié le vendredi 13 octobre 2023
  • v1.9.4-hotfix.1 publié le vendredi 13 octobre 2023

• Apigee Edge pour le cloud privé

  Les utilisateurs d'Apigee Edge pour le cloud privé peuvent suivre les instructions publiées dans la section Problèmes connus avec Edge pour le cloud privé pour désactiver explicitement HTTP/2 pour les composants exposés.

Quelles failles ces correctifs permettent-ils de résoudre ?

La faille, CVE-2023-44487, peut entraîner une attaque DoS de la fonctionnalité de gestion des API Apigee.