{"id":176428,"date":"2024-09-23T12:51:42","date_gmt":"2024-09-23T15:51:42","guid":{"rendered":"https:\/\/nuevoitsitio1.wpenginepowered.com\/co\/sin-categoria\/tenable-research-descubre-vulnerabilidad-critica-de-rce-en-la-plataforma-de-google-cloud\/"},"modified":"2025-11-21T21:22:40","modified_gmt":"2025-11-22T00:22:40","slug":"tenable-research-descubre-vulnerabilidad-critica-de-rce-en-la-plataforma-de-google-cloud","status":"publish","type":"post","link":"https:\/\/www.itsitio.com\/co\/seguridad\/tenable-research-descubre-vulnerabilidad-critica-de-rce-en-la-plataforma-de-google-cloud\/","title":{"rendered":"Tenable Research descubre vulnerabilidad cr\u00edtica de RCE en la plataforma de Google Cloud"},"content":{"rendered":"<p><a href=\"https:\/\/www.tenable.com\/\" target=\"_blank\" rel=\"noopener\">Tenable<\/a>, la empresa de gesti\u00f3n de exposici\u00f3n, ha revelado que su equipo de investigaci\u00f3n, <strong>Tenable Research, ha descubierto una vulnerabilidad cr\u00edtica de ejecuci\u00f3n remota de c\u00f3digo (RCE), denominada CloudImposer<\/strong>, que podr\u00eda haber permitido a atacantes maliciosos ejecutar c\u00f3digo en potencialmente millones de servidores de Google Cloud Platform (GCP) y los sistemas de sus clientes. Esta vulnerabilidad destaca una brecha de seguridad significativa en los servicios de Google Cloud, impactando espec\u00edficamente\u00a0<a href=\"https:\/\/cloud.google.com\/appengine?hl=en\" target=\"_blank\" rel=\"noopener\">App Engine<\/a>,\u00a0<a href=\"https:\/\/cloud.google.com\/functions?hl=en\" target=\"_blank\" rel=\"noopener\">Cloud Function<\/a>, y\u00a0<a href=\"https:\/\/cloud.google.com\/composer?hl=en\" target=\"_blank\" rel=\"noopener\">Cloud Composer.<\/a><\/p>\n<p>El descubrimiento surge de un an\u00e1lisis profundo de la documentaci\u00f3n tanto de GCP como de la Python Software Foundation, revelando que estos servicios eran vulnerables a un ataque a la cadena de suministro conocido como confusi\u00f3n de dependencias. Aunque esta t\u00e9cnica de ataque ha sido conocida durante varios a\u00f1os, la investigaci\u00f3n de Tenable muestra una alarmante falta de conciencia y medidas preventivas en su contra, incluso entre proveedores tecnol\u00f3gicos importantes como Google.<\/p>\n<h2><span style=\"color: #333399;\"><strong>Impacto de la vulnerabilidad CloudImposer<\/strong><\/span><\/h2>\n<p>Los ataques a la cadena de suministro en la nube pueden ser exponencialmente m\u00e1s da\u00f1inos que en entornos locales. Un solo paquete malicioso en un servicio en la nube puede propagarse a trav\u00e9s de vastas redes, afectando a millones de usuarios. La vulnerabilidad CloudImposer demuestra las consecuencias de gran alcance de estos ataques, enfatizando la necesidad cr\u00edtica de que tanto los proveedores de la nube como los clientes implementen medidas de seguridad robustas.<\/p>\n<figure id=\"attachment_175668\" aria-describedby=\"caption-attachment-175668\" style=\"width: 1200px\" class=\"wp-caption alignnone\"><img decoding=\"async\" class=\"wp-image-175668 size-full\" src=\"https:\/\/www.itsitio.com\/co\/wp-content\/uploads\/sites\/5\/2024\/06\/ETEK-PORTADA.webp\" alt=\"width=\" height=\"582\" srcset=\"https:\/\/www.itsitio.com\/co\/wp-content\/uploads\/sites\/4\/2024\/06\/ETEK-PORTADA.webp 1200w, https:\/\/www.itsitio.com\/co\/wp-content\/uploads\/sites\/4\/2024\/06\/ETEK-PORTADA-300x146.webp 300w, https:\/\/www.itsitio.com\/co\/wp-content\/uploads\/sites\/4\/2024\/06\/ETEK-PORTADA-1024x497.webp 1024w, https:\/\/www.itsitio.com\/co\/wp-content\/uploads\/sites\/4\/2024\/06\/ETEK-PORTADA-768x372.webp 768w\" sizes=\"(max-width: 1200px) 100vw, 1200px\" \/><figcaption id=\"caption-attachment-175668\" class=\"wp-caption-text\">&#8220;Esta investigaci\u00f3n empodera a la comunidad de seguridad y a los profesionales ofensivos para identificar vulnerabilidades y configuraciones err\u00f3neas similares&#8221; &#8211; Liv Matan, Ingeniero de investigaci\u00f3n s\u00e9nior en Tenable.<\/figcaption><\/figure>\n<p><em>\u201cEl radio de impacto de CloudImposer es inmenso. Al descubrir y revelar esta vulnerabilidad, hemos cerrado una puerta importante que los atacantes podr\u00edan haber explotado a gran escala\u201d<\/em> dijo <strong>Liv Matan, Ingeniero de investigaci\u00f3n s\u00e9nior en Tenable.<\/strong> <em>\u201cCompartir esta investigaci\u00f3n aumenta la conciencia y profundiza el entendimiento de este tipo de vulnerabilidades, incrementando la probabilidad de que sean parcheadas o descubiertas antes; adem\u00e1s, resalta conceptos m\u00e1s amplios que los usuarios de la nube deber\u00edan conocer para defenderse de riesgos similares y de la creciente superficie de ataque&#8221;.<\/em><\/p>\n<p>La seguridad en la nube requiere un esfuerzo colaborativo entre proveedores y clientes. Tenable insta a los usuarios de la nube a analizar sus entornos y revisar sus procesos de instalaci\u00f3n de paquetes, en particular el argumento &#8211;extra-index-url en Python, para mitigar los riesgos de confusi\u00f3n de dependencias.<\/p>\n<p>Tras la divulgaci\u00f3n de Tenable, Google ha reconocido y solucionado el problema.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Tenable, la empresa de gesti&oacute;n de exposici&oacute;n, ha revelado que su equipo de investigaci&oacute;n, Tenable Research, ha descubierto una vulnerabilidad cr&iacute;tica de ejecuci&oacute;n remota de c&oacute;digo (RCE), denominada CloudImposer, que podr&iacute;a haber permitido a atacantes maliciosos ejecutar c&oacute;digo en potencialmente millones de servidores de Google Cloud Platform (GCP) y los sistemas de sus clientes. Esta vulnerabilidad destaca una brecha de seguridad significativa en los servicios de Google Cloud, impactando espec&iacute;ficamente&nbsp;App Engine,&nbsp;Cloud Function, y&nbsp;Cloud Composer. El descubrimiento surge de un an&aacute;lisis profundo de la documentaci&oacute;n tanto de GCP como de la Python Software Foundation, revelando que estos servicios eran vulnerables a un ataque a la cadena de suministro conocido como confusi&oacute;n de dependencias. Aunque esta t&eacute;cnica de ataque ha sido conocida durante varios a&ntilde;os, la investigaci&oacute;n de Tenable muestra una alarmante falta de conciencia y medidas preventivas en su contra, incluso entre proveedores tecnol&oacute;gicos importantes como Google. Impacto de la vulnerabilidad CloudImposer Los ataques a la cadena de suministro en la nube pueden ser exponencialmente m&aacute;s da&ntilde;inos que en entornos locales. Un solo paquete malicioso en un servicio en la nube puede propagarse a trav&eacute;s de vastas redes, afectando a millones de usuarios. La vulnerabilidad CloudImposer demuestra las consecuencias de gran alcance de estos ataques, enfatizando la necesidad cr&iacute;tica de que tanto los proveedores de la nube como los clientes implementen medidas de seguridad robustas. &ldquo;El radio de impacto de CloudImposer es inmenso. Al descubrir y revelar esta vulnerabilidad, hemos cerrado una puerta importante que los atacantes podr&iacute;an haber explotado a gran escala&rdquo; dijo Liv Matan, Ingeniero de investigaci&oacute;n s&eacute;nior en Tenable. &ldquo;Compartir esta investigaci&oacute;n aumenta la conciencia y profundiza el entendimiento de este tipo de vulnerabilidades, incrementando la probabilidad de que sean parcheadas o descubiertas antes; adem&aacute;s, resalta conceptos m&aacute;s amplios que los usuarios de la nube deber&iacute;an conocer para defenderse de riesgos similares y de la creciente superficie de ataque&rdquo;. La seguridad en la nube requiere un esfuerzo colaborativo entre proveedores y clientes. Tenable insta a los usuarios de la nube a analizar sus entornos y revisar sus procesos de instalaci&oacute;n de paquetes, en particular el argumento &ndash;extra-index-url en Python, para mitigar los riesgos de confusi&oacute;n de dependencias. Tras la divulgaci&oacute;n de Tenable, Google ha reconocido y solucionado el problema.<\/p>\n","protected":false},"author":229,"featured_media":176103,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[20],"tags":[217],"class_list":["post-176428","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad","tag-tenable"],"_links":{"self":[{"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/posts\/176428","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/users\/229"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/comments?post=176428"}],"version-history":[{"count":0,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/posts\/176428\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/media\/176103"}],"wp:attachment":[{"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/media?parent=176428"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/categories?post=176428"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itsitio.com\/co\/wp-json\/wp\/v2\/tags?post=176428"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}