Uma falha crítica de design no serviço Google Cloud Build, descoberta pela empresa de segurança na nuvem Orca Security, pode permitir que os invasores elevem privilégios, fornecendo a eles quase total e acesso não autorizado aos repositórios de código do Google Artifact Registry.
Apelidada de Bad.Build, essa falha pode permitir que os agentes mal-intencionados se passem pela conta de serviço Google Cloud Build para executar chamadas de API contra o registro de artefatos e tomar o controle das imagens de aplicativos.
Isso permite a injeção de código malicioso, resultando em aplicativos vulneráveis e possíveis ataques à cadeia de suprimentos após o desdobramento dos aplicativos maliciosos nos ambientes dos clientes.
"O impacto potencial pode ser diverso e se aplica a todas as organizações que estão usando o Artifact Registry como seu principal ou secundário repositório de imagens", disse o pesquisador de segurança da Orca, Roi Nisimi.
"O primeiro e imediato impacto é interromper as aplicações que dependem dessas imagens.
Isso pode levar a negação de serviço (DOS), roubo de dados e disseminação de malware para usuários.
"Como vimos nos ataques à cadeia de suprimentos da SolarWinds e nos recentes 3CX e MOVEit, isso pode ter consequências graves."
A mesma vulnerabilidade foi observada e relatada por aqui pelo Rhino Security Lab.
No entanto, o método deles para explorar esta falha de elevação de privilégio era mais complexo, envolvendo o uso da API GCP e tokens de acesso de conta de serviço Cloud Build exfiltrados.
O ataque da Orca Security tira proveito da permissão cloudbuild.builds.create para aumentar privilégios e permitir que os invasores adulterem as imagens do Docker do Google Kubernetes Engine (GKE) usando as permissões do artifactregistry e executem código dentro do container Docker como root.
Depois que a Orca Security reportou o problema, a equipe de segurança do Google implementou uma correção parcial, revogando a permissão logging.privateLogEntries.list da conta de serviço Cloud Build padrão, não relacionada ao Artifact Registry.
É importante notar que esta medida não tratou diretamente a vulnerabilidade subjacente no Artifact Registry, mantendo o vetor de escalonamento de privilégio e o risco de um ataque à cadeia de suprimentos intactos.
"No entanto, a solução do Google não revoga o vetor de escalada de privilégio (PE) descoberto.
Apenas limita, tornando-se uma falha de design que ainda deixa as organizações vulneráveis ao maior risco na cadeia de suprimentos", disse Nisimi.
"Portanto, é importante que as organizações prestem muita atenção ao comportamento da conta de serviço Cloud Build padrão do Google.
Aplicar o Princípio do Privilégio Mínimo e implementar a detecção e resposta em nuvem para identificar anomalias são algumas das recomendações para reduzir o risco."
Os clientes do Google Cloud Build são aconselhados a modificar as permissões da conta de serviço Cloud Build padrão para atender às suas necessidades e remover credenciais de direito que vão contra o Princípio do Privilégio Mínimo (PoLP) para mitigar os riscos de escalada de privilégios.
Em abril, o Google também corrigiu uma vulnerabilidade de segurança da Plataforma Google Cloud (GCP) chamada GhostToken, que permitia aos invasores criar backdoor em qualquer conta Google usando aplicativos OAuth maliciosos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...