במסמך הזה מתואר סוג של ממצא איום ב-Security Command Center. ממצאי איומים נוצרים על ידי מזהי איומים כשהם מזהים איום פוטנציאלי במשאבי הענן שלכם. רשימה מלאה של ממצאי האיומים הזמינים מופיעה במאמר אינדקס ממצאי האיומים.
סקירה כללית
זוהה תהליך foomatic-rip שמבצע פקודת מעטפת. מערכת ההדפסה CUPS
מוסרת או מושבתת בדרך כלל בתמונות של סוכני AI. משתמש זדוני עלול לנצל את מערכת ההדפסה כדי להריץ פקודות שרירותיות בעומס העבודה.
זיהוי איומים ב-Agent Platform הוא המקור של הממצא הזה.
איך מגיבים
כדי להגיב לממצא הזה:
בדיקת פרטי הממצא
פותחים את הממצא
Execution: Possible Arbitrary Command Execution through CUPS (CVE-2024-47177)לפי ההוראות שבקטע בדיקת הממצאים. בודקים את הפרטים בכרטיסיות סיכום וJSON.בכרטיסייה Summary (סיכום), בודקים את המידע בקטעים הבאים.
- מה זוהה, במיוחד השדות הבאים:
- קובץ בינארי של התוכנית: הנתיב המוחלט של הקובץ הבינארי שהופעל
- ארגומנטים: הארגומנטים שמועברים במהלך ביצוע קובץ בינארי
- מקור המידע שהושפע, במיוחד השדות הבאים:
- שם המשאב המלא: שם המשאב המלא של משאב Agent Runtime המושפע
- מה זוהה, במיוחד השדות הבאים:
בכרטיסייה JSON, שימו לב לשדות הבאים.
resource:-
project_display_name: שם הפרויקט שמכיל את משאב Agent Runtime המושפע
-
finding:processes:binary:-
path: הנתיב המלא של הקובץ הבינארי שהופעל
-
args: הארגומנטים שסופקו כשקובץ הבינארי הופעל
זיהוי ממצאים אחרים שהתרחשו בזמן דומה אצל סוכן ה-AI המושפע. ממצאים קשורים עשויים להצביע על כך שהפעילות הזו הייתה זדונית, ולא על כך שלא פעלת לפי השיטות המומלצות.
בודקים את ההגדרות של סוכן ה-AI המושפע.
בודקים את היומנים של סוכן ה-AI המושפע.
מחקר של שיטות התקפה ותגובה
- כדאי לעיין בערכים של MITRE ATT&CK framework לגבי סוג הממצא הזה: Execution.
- כדי לפתח תוכנית תגובה, משלבים את תוצאות החקירה עם מחקר של MITRE.
יישום התשובה
המלצות לתגובה מופיעות במאמר תגובה לממצאי איומים ב-Agent Runtime.
המאמרים הבאים
- איך עובדים עם ממצאי איומים ב-Security Command Center
- אפשר לעיין באינדקס של ממצאי איומים.
- איך בודקים ממצא דרך מסוף Google Cloud .
- מידע על השירותים שמפיקים ממצאים לגבי איומים