Un’analisi di Unit 42 di Palo Alto Networks ha rilevato una minaccia ‘double agent’ in Google Cloud Vertex AI che espone i dati dei clienti e il codice interno di Google Cloud Platform (GCP). Identificando elementi di sicurezza critici in Vertex AI Agent Engine di GCP, la ricerca ha infatti dimostrato come un agente AI implementato possa essere trasformato in un’arma per compromettere un intero ambiente GCP, trasformandolo in un double agent.
Come si comporta un double agent
Tra i principali insight evidenziati dalla Unit 42 di Palo Alto Networks:
i ricercatori hanno sfruttato una vulnerabilità nella definizione predefinita degli ambiti di autorizzazione, compromettendo un singolo Per-Project, Per-Product Service Agent (P4SA) attraverso permessi eccessivi.
L’agente compromesso ha ottenuto accesso di lettura illimitato a tutti i dati Google Cloud Storage Bucket all’interno del progetto del cliente (consumer).
L’attacco ha anche concesso l’accesso a repository Artifact Registry riservati e di proprietà di Google. Consentendo così il download di immagini container che costituiscono il nucleo di Vertex AI Reasoning Engine e rivelando dettagli dell’infrastruttura interna di Google Cloud.
L’analisi ha mostrato che ambiti OAuth 2.0 predefiniti eccessivamente permissivi e non modificabili hanno creato una vulnerabilità di sicurezza latente che avrebbe potuto estendere l’accesso a servizi di Google Workspace, come Gmail e Drive.
Applicare la best practice del BYOSA
Unit 42 ha condiviso con Google la documentazione ufficiale che è stata rivista per aumentare la trasparenza sull’utilizzo delle risorse. Google ha anche suggerito l’applicazione della best practice del Bring Your Own Service Account (BYOSA) per aiutare le aziende a far rispettare il principio del minimo privilegio e mitigare il rischio di permessi eccessivi.
