עדכוני אבטחה דחופים

בהמשך מפורטים כל עדכוני האבטחה שקשורים ל-Dataflow.

כדי לקבל את עדכוני האבטחה האחרונים, אפשר לבצע אחת מהפעולות הבאות:

מוסיפים את כתובת ה-URL של הדף הזה לקורא הפידים.
מוסיפים את כתובת ה-URL של הפיד ישירות לקורא הפידים: https://cloud.google.com/feeds/dataflow-security-bulletins.xml

GCP-2024-040

תאריך פרסום: 3 ביולי 2024

תיאור רמת סיכון הערות

תיאור	רמת סיכון	הערות
לאחרונה התגלתה ב-OpenSSH נקודת חולשה של הרצת קוד מרחוק, CVE-2024-6387. יכול להיות שמשימות Dataflow ייצרו מכונות וירטואליות שמשתמשות בקובץ אימג' של מערכת הפעלה עם גרסאות של OpenSSH שפגיעות ל-CVE-2024-6387. הפרצה עלולה לאפשר לתוקפים לקבל גישת root למכונות וירטואליות של עובדים ב-Dataflow. מכונות וירטואליות של Dataflow worker עם כתובות IP ציבוריות ו-SSH שחשופות לאינטרנט צריכות לקבל עדיפות גבוהה ביותר לצורך צמצום הסיכון. מה לעשות? תמונת מכונה וירטואלית של Dataflow עם תיקון שכולל OpenSSH מעודכן זמינה. מומלץ לבצע את השלבים הבאים כדי לבדוק את החשיפה של צינורות העיבוד, ואז להחיל את אמצעי ההגנה שמתוארים בהמשך, לפי הצורך. איסור שימוש ב-SSH במכונות וירטואליות של עובדי Dataflow פעולה זו היא האמצעי היעיל ביותר לצמצום הסיכון מפני נקודות חולשה קיימות ועתידיות ב-SSH. גישת SSH למכונות וירטואליות של עובדי Dataflow לא נדרשת כדי ש-Dataflow יפעל או כדי לנפות באגים ברוב הבעיות ב-Dataflow. כדי להשבית את ה-SSH במכונות וירטואליות של Dataflow, משתמשים בפקודה הבאה של Google Cloud CLI: gcloud compute firewall-rules create block-ssh-dataflow \ --network=`NETWORK` \ --action=DENY --priority=500 \ --rules=tcp:22 \ --target-tags=dataflow כדי לבטל את הפעולה הזו, משתמשים בפקודה `gcloud compute firewall-rules delete block-ssh-dataflow`. עדכון או הפעלה מחדש של צינורות עיבוד נתונים בסטרימינג שפועלים לאורך זמן הפעולה הזו מטפלת בנקודת החולשה הספציפית שמוזכרת בעלון הזה. כל עבודות Dataflow שהופעלו אחרי 2024-07-04 בשעה 22:00 PDT משתמשות בתמונת מכונת ה-VM המתוקנת. כדי להשתמש בתמונת ה-VM המתוקנת בצינורות להזרמת נתונים שהופעלו לפני התאריך הזה, צריך לעדכן את העבודה באופן ידני או להפעיל אותה מחדש. זיהוי משימות Dataflow שיש להן מכונות וירטואליות של עובדים עם כתובות IP ציבוריות אלא אם הגישה נחסמת על ידי חומות אש, יציאות ה-SSH של מכונות VM של עובדי Dataflow עם כתובות IP ציבוריות פתוחות לאינטרנט. כדי לקבל רשימה של משימות Dataflow שהפעילו מכונות וירטואליות עם כתובות IP חיצוניות, משתמשים בפקודה הבאה ב-CLI של gcloud: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \ AND description ~ 'Created for Dataflow job'" \ --format="list (description)" \| sort -u כדי לבדוק את רשימת כל המכונות הווירטואליות עם כתובות IP חיצוניות בפרויקט, משתמשים בפקודה הבאה ב-CLI של gcloud: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'" השבתה של כתובות IP ציבוריות במשימות Dataflow השלב הזה מבטיח שפורטי ה-SSH לא יהיו פתוחים לאינטרנט הציבורי. אלא אם הגישה חסומה על ידי חומת אש, ההגדרה הזו משאירה את היציאות פתוחות למשתמשים אחרים שיש להם גישה לרשת הזו. לצינורות Dataflow שלא ניגשים לאינטרנט הציבורי לא צריך להקצות כתובות IP ציבוריות. אם זיהיתם צינורות שמשתמשים בכתובות IP ציבוריות אבל לא צריכים גישה לאינטרנט הציבורי, כדאי להשבית את כתובות ה-IP החיצוניות עבור הצינורות האלה. הוראות מפורטות מופיעות במאמר בנושא השבתת כתובת IP חיצונית. אילו נקודות חולשה טופלו? נקודת החולשה, CVE-2024-6387, מנצלת מרוץ תהליכים שאפשר להשתמש בו כדי לקבל גישה למעטפת מרוחקת, וכך לאפשר לתוקפים לקבל גישת root למכונות וירטואליות של עובדים ב-Dataflow. בזמן הפרסום, ההערכה היא שהניצול קשה וייקח כמה שעות לכל מכונה שמוּתקפת. לא ידוע לנו על ניסיונות ניצול.	בינוני	CVE-2024-6387

לאחרונה התגלתה ב-OpenSSH נקודת חולשה של הרצת קוד מרחוק, CVE-2024-6387. יכול להיות שמשימות Dataflow ייצרו מכונות וירטואליות שמשתמשות בקובץ אימג' של מערכת הפעלה עם גרסאות של OpenSSH שפגיעות ל-CVE-2024-6387. הפרצה עלולה לאפשר לתוקפים לקבל גישת root למכונות וירטואליות של עובדים ב-Dataflow. מכונות וירטואליות של Dataflow worker עם כתובות IP ציבוריות ו-SSH שחשופות לאינטרנט צריכות לקבל עדיפות גבוהה ביותר לצורך צמצום הסיכון.

מה לעשות?

תמונת מכונה וירטואלית של Dataflow עם תיקון שכולל OpenSSH מעודכן זמינה. מומלץ לבצע את השלבים הבאים כדי לבדוק את החשיפה של צינורות העיבוד, ואז להחיל את אמצעי ההגנה שמתוארים בהמשך, לפי הצורך.

איסור שימוש ב-SSH במכונות וירטואליות של עובדי Dataflow

פעולה זו היא האמצעי היעיל ביותר לצמצום הסיכון מפני נקודות חולשה קיימות ועתידיות ב-SSH.

גישת SSH למכונות וירטואליות של עובדי Dataflow לא נדרשת כדי ש-Dataflow יפעל או כדי לנפות באגים ברוב הבעיות ב-Dataflow.

כדי להשבית את ה-SSH במכונות וירטואליות של Dataflow, משתמשים בפקודה הבאה של Google Cloud CLI:

gcloud compute firewall-rules create block-ssh-dataflow \
   --network=NETWORK \
   --action=DENY --priority=500 \
   --rules=tcp:22 \
   --target-tags=dataflow

כדי לבטל את הפעולה הזו, משתמשים בפקודה gcloud compute firewall-rules delete block-ssh-dataflow.

עדכון או הפעלה מחדש של צינורות עיבוד נתונים בסטרימינג שפועלים לאורך זמן

הפעולה הזו מטפלת בנקודת החולשה הספציפית שמוזכרת בעלון הזה.

כל עבודות Dataflow שהופעלו אחרי 2024-07-04 בשעה 22:00 PDT משתמשות בתמונת מכונת ה-VM המתוקנת. כדי להשתמש בתמונת ה-VM המתוקנת בצינורות להזרמת נתונים שהופעלו לפני התאריך הזה, צריך לעדכן את העבודה באופן ידני או להפעיל אותה מחדש.

זיהוי משימות Dataflow שיש להן מכונות וירטואליות של עובדים עם כתובות IP ציבוריות

אלא אם הגישה נחסמת על ידי חומות אש, יציאות ה-SSH של מכונות VM של עובדי Dataflow עם כתובות IP ציבוריות פתוחות לאינטרנט.

כדי לקבל רשימה של משימות Dataflow שהפעילו מכונות וירטואליות עם כתובות IP חיצוניות, משתמשים בפקודה הבאה ב-CLI של gcloud:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \
              AND description ~ 'Created for Dataflow job'" \
   --format="list (description)" | sort -u

כדי לבדוק את רשימת כל המכונות הווירטואליות עם כתובות IP חיצוניות בפרויקט, משתמשים בפקודה הבאה ב-CLI של gcloud:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'"

השבתה של כתובות IP ציבוריות במשימות Dataflow

השלב הזה מבטיח שפורטי ה-SSH לא יהיו פתוחים לאינטרנט הציבורי. אלא אם הגישה חסומה על ידי חומת אש, ההגדרה הזו משאירה את היציאות פתוחות למשתמשים אחרים שיש להם גישה לרשת הזו.

לצינורות Dataflow שלא ניגשים לאינטרנט הציבורי לא צריך להקצות כתובות IP ציבוריות.

אם זיהיתם צינורות שמשתמשים בכתובות IP ציבוריות אבל לא צריכים גישה לאינטרנט הציבורי, כדאי להשבית את כתובות ה-IP החיצוניות עבור הצינורות האלה. הוראות מפורטות מופיעות במאמר בנושא השבתת כתובת IP חיצונית.

אילו נקודות חולשה טופלו?

נקודת החולשה, CVE-2024-6387, מנצלת מרוץ תהליכים שאפשר להשתמש בו כדי לקבל גישה למעטפת מרוחקת, וכך לאפשר לתוקפים לקבל גישת root למכונות וירטואליות של עובדים ב-Dataflow. בזמן הפרסום, ההערכה היא שהניצול קשה וייקח כמה שעות לכל מכונה שמוּתקפת. לא ידוע לנו על ניסיונות ניצול.

בינוני

CVE-2024-6387

עדכוני אבטחה דחופים קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.