Vulnerabilidad en Google Cloud Platform ESPv2

INTRODUCCIÓN

Se ha encontrado una vulnerabilidad en un proxy de Google Cloud Platform.

ANÁLISIS

CVE-2023-30845 CVSS 8.2:

ESPv2 es un proxy de servicios que proporciona funciones de gestión de API mediante Google Service Infrastructure. Los clientes de API pueden crear un valor de cabecera malicioso X-HTTP-Method-Override para evitar la autenticación JWT en casos específicos.

ESPv2 permite que las solicitudes maliciosas eludan la autenticación si se cumplen las dos condiciones siguientes: el método HTTP solicitado no figura en la definición del servicio API, especificaciones OpenAPI o anotaciones gRPC google.api.http proto, y el valor X-HTTP-Method-Override especificado es un método HTTP válido en la definición del servicio API.

ESPv2 reenviará la solicitud a su backend sin comprobar el JWT. Los atacantes pueden crear peticiones con un valor "X-HTTP-Method-Override" malicioso que les permita eludir la especificación de JWT. La restricción del acceso a la API mediante claves de API funciona según lo previsto y no se ve afectada por esta vulnerabilidad.

VERSIONES AFECTADAS

Google ESPv2 versiones entre 2.20.0 hasta 2.42.0

RECOMENDACIONES

Actualice las implementaciones a la versión v2.43.0 o superior. Esta versión garantiza que se produzca la autenticación JWT, incluso cuando el autor de la llamada especifica x-http-method-override.

La cabecera x-http-method-override sigue siendo compatible con la versión 2.43.0+. Los clientes de la API pueden seguir enviando esta cabecera a ESPv2.

REFERENCIAS

https://nvd.nist.gov/vuln/detail/CVE-2023-30845
https://github.com/GoogleCloudPlatform/esp-v2/security/advisories/GHSA-6qmp-9p95-fc5f