Zhackował Google i wygrał $133337

Google w 2019 roku ogłosiło konkurs na najlepszą podatność w GCP (Google Cloud Platform), którą należało jeszcze dokładnie opisać w formie artykułu. 

W pierwszej edycji konkursu zwycięzca zgarnął aż 100 000$. W 2020 pula nagród została zwiększona do 313 337$, a nagrodzonych zostało aż 6 badaczy.

* Wykres przedstawiający liczbę zgłoszonych podatności w ramach programu VRP w latach 2018-2020

Nietypowy SSRF w Google Cloud Platform

Najwyższe wynagrodzenie za zgłoszenie w 2020 roku zgarnął Ezequiel Pereira za podatność typu SSRF. W dużym skrócie, badacz za pomocą API Google Cloud Deployment Manager w wersji dogfood (API testowe) mógł wysyłać zapytania do niektórych z wewnętrznych endpointów Google, za pośrednictwem Google Global Service Load Balancer. Badaczowi towarzyszyło dość spore szczęście, gdyż adresy GSLB potrzebne do wykonania “ataku” widniały na jednej ze stron Google, która nie powinna być publiczna. Dodatkowo, wymóg w postaci dokładnej wartości parametru “transport” został pominięty za pomocą protobuf, w którym zamiast wartości np “sekurak”, wystarczyło “strzelić” odpowiednią cyfrę (numer wyliczeniowy). Google sklasyfikowało ten błąd jako RCE (zdalne wykonanie kodu), choć, jak przyznaje sam Ezequiel, jego działania początkowo zostały potraktowane jako incydent i badacz nie był w stanie sam dojść do etapu wykonania kodu. 

Youtuber LiveOverflow opublikował film z głównym bohaterem artykuł, w którym razem omawiają tę podatność. 

Oprócz Ezequiela nagrodzonych zostało 6 innych badaczy:

~ Jakub Bielaszewski