Google si trova al centro di una controversia legata alla gestione delle vulnerabilit�, dopo aver inizialmente riconosciuto un grave difetto di sicurezza in un operatore Kubernetes, salvo poi negare la sua esistenza e il relativo compenso.
Il ricercatore Justin O'Leary, esperto di cloud security, ha segnalato a Google una falla che consente a qualsiasi utente di un namespace Kubernetes di aggirare le protezioni Identity and Access Management (IAM) di Google Cloud Platform (GCP), ottenendo cos� il controllo completo delle risorse cloud di un'intera organizzazione. Il problema � stato battezzato ConfigConfusion.
La vulnerabilit�, individuata in Config Connector - un add-on open source di Kubernetes che permette di gestire le risorse Google Cloud tramite Kubernetes - deriva da una mancata verifica di autorizzazione. Secondo O'Leary e quanto riportato da The Register, un account di servizio Config Connector con permessi a livello di organizzazione pu� bypassare l'autorizzazione IAM e ottenere il massimo livello di controllo (ruolo/proprietario) su un'intera organizzazione GCP, ovvero il nodo radice di tutte le risorse aziendali all'interno di Google Cloud.
"Bel colpo": Google sulla scoperta di una falla di sicurezza, ma nega il premio al ricercatore
