Een kwetsbaarheid in de Dialogflow CX-dienst van Google Cloud maakte het mogelijk voor aanvallers om onopgemerkt controle te krijgen over virtuele agenten, gesprekken te manipuleren en gevoelige informatie te exfiltreren, meldt Varonis. Dialogflow CX is een geavanceerd platform voor conversational AI dat organisaties in staat stelt complexe virtuele agenten en chatbots te bouwen voor klantondersteuning, financiële diensten, gezondheidszorg en workflows met gevoelige data binnen bedrijfsomgevingen.
Dialogflow CX gebruikt voor gebruikersgesprekken zogenaamde Playbooks met Code Blocks, waarmee aangepaste Python-logica in conversatiestromen kan worden ingebed. Deze Code Blocks worden uitgevoerd binnen een door Google beheerde omgeving, namelijk de Cloud Run-service. Cloud Run-instanties kunnen uitgaande verbindingen maken met internet en communiceren over dataperimeters heen. Volgens Varonis, die de kwetsbaarheid 'Rogue Agent' noemde, delen alle Dialogflow-agenten die Code Blocks gebruiken binnen hetzelfde Google Cloud Platform (GCP)-project effectief dezelfde Cloud Run-uitvoeringsomgeving, die buiten het bereik van de gebruiker valt.
Varonis ontdekte dat binnen een Cloud Run-instantie met publieke toegang, een schrijfbaar bestandssysteem en een gebruiker met systeemwijzigingsrechten, het mogelijk was om een cruciaal bestand te wijzigen dat verantwoordelijk is voor het uitvoeren van Code Blocks via Python’s exec()-functie. Omdat er geen beperkingen waren op het uitvoeren van willekeurige Python-code, kon dit bestand worden overschreven met kwaadaardige code die toegang gaf tot gebruikersgesprekken en manipulatie van de Code Blocks-pijplijn en workflows mogelijk maakte.
De geïnjecteerde Code Block werd uitgevoerd binnen dezelfde scope, waardoor aanvallers direct variabelen konden benaderen en volledige zichtbaarheid kregen in lopende gesprekken. Dit maakte het mogelijk sessies te kapen of legitieme conversatiestromen te imiteren. Ook konden interne functies worden aangeroepen om specifieke antwoorden af te dwingen, wat manipulatie van gesprekken mogelijk maakte en zo phishing- en social engineering-aanvallen faciliteerde. Door het sleutelbestand aan te passen, konden aanvallers gesprekken exfiltreren, phishing prompts injecteren die leken op legitieme herauthenticatieverzoeken en een persistente logica implementeren die het bestand voor elke gebruiker wijzigde. Deze wijzigingen werden niet gelogd, waardoor de aanval volledig onzichtbaar bleef.
Het gevolg was dat aanvallers stilletjes controle konden overnemen over alle agenten binnen hetzelfde GCP-project, gesprekken konden manipuleren en gevoelige data konden stelen zonder dat dit werd opgemerkt. Voor organisaties die Dialogflow CX gebruiken voor klantinteracties betekende deze kwetsbaarheid een ernstige schending van vertrouwen, veroorzaakt door een enkele, over het hoofd geziene permissie op één agent, aldus Varonis.
Daarnaast ontdekte Varonis dat het mogelijk was een bidirectioneel communicatiekanaal op te zetten met een externe server, waarmee VPC Service Controls (die dataperimeters afdwingen) konden worden omzeild. Ook kon de Instance Metadata Service (IMDS) binnen de Cloud Run-omgeving worden misbruikt om toegangstokens van een door Google beheerde serviceaccount te verkrijgen. Varonis meldde de kwetsbaarheid in november 2025 aan Google Cloud. Een eerste patch werd uitgerold in april, gevolgd door een volledige oplossing in juni.
Reacties
Geef een reactie
Vereiste velden zijn gemarkeerd met *