Uma falha crítica de design no serviço Google Cloud Build, descoberta pela empresa de segurança na nuvem Orca Security, pode permitir que os invasores elevem privilégios, fornecendo a eles quase total e acesso não autorizado aos repositórios de código do Google Artifact Registry.
Apelidada de Bad.Build, essa falha pode permitir que os agentes mal-intencionados se passem pela conta de serviço Google Cloud Build para executar chamadas de API contra o registro de artefatos e tomar o controle das imagens de aplicativos.
Isso permite a injeção de código malicioso, resultando em aplicativos vulneráveis e possíveis ataques à cadeia de suprimentos após o desdobramento dos aplicativos maliciosos nos ambientes dos clientes.
"O impacto potencial pode ser diverso e se aplica a todas as organizações que estão usando o Artifact Registry como seu principal ou secundário repositório de imagens", disse o pesquisador de segurança da Orca, Roi Nisimi.
"O primeiro e imediato impacto é interromper as aplicações que dependem dessas imagens.
Isso pode levar a negação de serviço (DOS), roubo de dados e disseminação de malware para usuários.
"Como vimos nos ataques à cadeia de suprimentos da SolarWinds e nos recentes 3CX e MOVEit, isso pode ter consequências graves."
A mesma vulnerabilidade foi observada e relatada por aqui pelo Rhino Security Lab.
No entanto, o método deles para explorar esta falha de elevação de privilégio era mais complexo, envolvendo o uso da API GCP e tokens de acesso de conta de serviço Cloud Build exfiltrados.
O ataque da Orca Security tira proveito da permissão cloudbuild.builds.create para aumentar privilégios e permitir que os invasores adulterem as imagens do Docker do Google Kubernetes Engine (GKE) usando as permissões do artifactregistry e executem código dentro do container Docker como root.
Depois que a Orca Security reportou o problema, a equipe de segurança do Google implementou uma correção parcial, revogando a permissão logging.privateLogEntries.list da conta de serviço Cloud Build padrão, não relacionada ao Artifact Registry.
É importante notar que esta medida não tratou diretamente a vulnerabilidade subjacente no Artifact Registry, mantendo o vetor de escalonamento de privilégio e o risco de um ataque à cadeia de suprimentos intactos.
"No entanto, a solução do Google não revoga o vetor de escalada de privilégio (PE) descoberto.
Apenas limita, tornando-se uma falha de design que ainda deixa as organizações vulneráveis ao maior risco na cadeia de suprimentos", disse Nisimi.
"Portanto, é importante que as organizações prestem muita atenção ao comportamento da conta de serviço Cloud Build padrão do Google.
Aplicar o Princípio do Privilégio Mínimo e implementar a detecção e resposta em nuvem para identificar anomalias são algumas das recomendações para reduzir o risco."
Os clientes do Google Cloud Build são aconselhados a modificar as permissões da conta de serviço Cloud Build padrão para atender às suas necessidades e remover credenciais de direito que vão contra o Princípio do Privilégio Mínimo (PoLP) para mitigar os riscos de escalada de privilégios.
Em abril, o Google também corrigiu uma vulnerabilidade de segurança da Plataforma Google Cloud (GCP) chamada GhostToken, que permitia aos invasores criar backdoor em qualquer conta Google usando aplicativos OAuth maliciosos.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...