Новости Взломали одного бота, захватили остальных. Уязвимость в Google Cloud отдавала хакерам переписки пользователей

NewsMaker

I'm just a script
Премиум
28,126
46
8 Ноя 2022
Разработчики даже не подозревали, что их собственные инструменты работают против них.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
btusmk86w02mx97jdmbuelzxr769ce4a.jpg

Разрешение на редактирование одного чат-бота оказалось ключом ко всей системе: уязвимость Rogue Agent в Google Dialogflow CX позволяла атакующему с доступом к одному агенту перехватить остальных агентов с блоками кода в том же проекте Google Cloud .

По данным Varonis, проблема затрагивала организации, которые создавали агентов через Playbooks и добавляли собственный код на Python. Удалённая атака без учётной записи была невозможна. Для входа требовалось право dialogflow.playbooks.update, поэтому применить уязвимость мог недобросовестный сотрудник или злоумышленник, взломавший учётную запись разработчика.

Все агенты с блоками кода внутри одного проекта использовали общую среду Cloud Run. Специалисты обнаружили в ней доступный для записи файл code_execution_env.py, который подготавливал и запускал код каждого агента. Один вредоносный блок мог заменить файл своей версией, после чего изменённый код выполнялся при каждом запуске блоков во всех связанных чат-ботах .

Такая подмена давала доступ к истории разговоров, данным сеанса и функции, формирующей ответы бота. В тестовой демонстрации механизм позволял незаметно отправлять переписку на внешний сервер и показывать пользователям сообщения злоумышленника, включая просьбу повторно ввести пароль. Возврат исходного блока в консоли не останавливал атаку, поскольку изменённый файл продолжал работать внутри контейнера.

Varonis также выяснила, что среда могла свободно обращаться в интернет и получать команды извне. Кроме того, блоки кода имели доступ к внутреннему сервису метаданных, хотя полученный через него токен служебной учётной записи давал ограниченные права. Изменение общего файла и внедрённый код почти не попадали в журналы клиента, поэтому обнаружить вмешательство было сложно.

Исследователи сообщили Google о проблеме в ноябре 2025 года. Компания выпустила первое исправление в апреле 2026 года, но полностью закрыла уязвимость только в июне. Идентификатор CVE ей не присвоили, признаков реального использования атаки не нашли.

Организациям, которые применяли Code Blocks до исправления, рекомендуют проверить пользователей с правом dialogflow.playbooks.update, изучить журналы изменений Playbooks, сопоставить подозрительные действия с пользователями, IP-адресами и временем доступа, а также вручную проверить все блоки кода в Dialogflow CX.
 
Источник новости
www.securitylab.ru

Похожие темы