Esecuzione: possibile esecuzione di comandi arbitrari tramite CUPS (CVE-2024-47177)

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati di minaccia vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle risorse cloud. Per un elenco completo dei risultati di minaccia disponibili, consulta l'indice dei risultati di minaccia.

Panoramica

È stato rilevato che il processo foomatic-rip esegue un comando della shell. Il sistema di stampa CUPS viene in genere rimosso o disattivato nelle immagini degli agenti AI. Un utente malintenzionato potrebbe sfruttare il sistema di stampa per eseguire comandi arbitrari sul carico di lavoro.

Il rilevamento delle minacce di Agent Platform è l' origine di questo risultato.

Come rispondere

Per rispondere a questo risultato:

Esamina i dettagli del risultato

1. Apri il risultato Execution: Possible Arbitrary Command Execution through CUPS (CVE-2024-47177) come indicato in Esaminare i risultati. Esamina i dettagli nelle schede Riepilogo e JSON.

2. Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni.

   • Che cosa è stato rilevato, in particolare i seguenti campi:
     • Programma binario: il percorso assoluto del file binario eseguito
     • Argomenti: gli argomenti passati durante l'esecuzione del file binario
   • Risorsa interessata, in particolare i seguenti campi:
     • Nome completo risorsa: il nome completo risorsa della risorsa Agent Runtime interessata

3. Nella scheda JSON, prendi nota dei seguenti campi.

   • resource:
     • project_display_name: il nome del progetto che contiene la risorsa Agent Runtime interessata
   • finding:
     • processes:
       • binary:
       • path: il percorso completo del file binario eseguito
     • args: gli argomenti forniti durante l'esecuzione del file binario

4. Identifica altri risultati che si sono verificati in un momento simile per l'agente AI interessato. I risultati correlati potrebbero indicare che questa attività era dannosa, anziché un mancato rispetto delle best practice.

5. Esamina le impostazioni dell'agente AI interessato.

6. Controlla i log dell'agente AI interessato.

Ricerca metodi di attacco e risposta

1. Esamina le voci del framework MITRE ATT&CK per questo tipo di risultato: Esecuzione.
2. Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.

Implementa la risposta

Per i consigli sulla risposta, consulta Rispondere ai risultati di minaccia di Agent Runtime findings.

Passaggi successivi

• Scopri come utilizzare i risultati di minaccia in Security Command Center.
• Consulta l'indice dei risultati di minaccia.
• Scopri come esaminare un risultato tramite la Google Cloud console.
• Scopri i servizi che generano risultati di minaccia.