Pesquisadores de cibersegurança revelaram detalhes de uma vulnerabilidade de escalonamento de privilégios, agora corrigida, na plataforma Google Cloud Platform (GCP) Cloud Run, que poderia ter permitido a um ator malicioso acessar imagens de contêiner e até injetar código malicioso.
"A vulnerabilidade poderia ter permitido que tal identidade abusasse de suas permissões de edição de revisão do Google Cloud Run para puxar imagens privadas do Google Artifact Registry e do Google Container Registry na mesma conta", disse o pesquisador de segurança da Tenable, Liv Matan, em um relatório compartilhado com a imprensa.
A falha de segurança foi batizada de ImageRunner pela empresa de cibersegurança.
Após a divulgação responsável, o Google corrigiu o problema em 28 de janeiro de 2025.
O Google Cloud Run é um serviço totalmente gerenciado para executar aplicações conteinerizadas em um ambiente escalável e sem servidor.
Quando a tecnologia é usada para rodar um serviço, imagens de contêiner são recuperadas do Artifact Registry (ou Docker Hub) para subsequente implantação especificando a URL da imagem.
O problema é que existem certas identidades que não têm permissões de registro de contêiner, mas que possuem permissões de edição nas revisões do Google Cloud Run.
Toda vez que um serviço Cloud Run é implantado ou atualizado, uma nova versão é criada.
E cada vez que uma revisão do Cloud Run é implantada, uma conta de serviço é usada para puxar as imagens necessárias.
"Se um atacante ganhar certas permissões dentro do projeto de uma vítima — especificamente run.services.update e iam.serviceAccounts.actAs permissions — poderia modificar um serviço Cloud Run e implantar uma nova revisão", explicou Matan.
Fazendo isso, eles poderiam especificar qualquer imagem de contêiner privada dentro do mesmo projeto para o serviço puxar.
Além disso, o atacante poderia acessar imagens sensíveis ou proprietárias armazenadas nos registros de uma vítima e até introduzir instruções maliciosas que, quando executadas, poderiam ser usadas para extrair segredos, exfiltrar dados sensíveis ou mesmo abrir um reverse shell para uma máquina sob seu controle.
O patch lançado pelo Google agora garante que o usuário ou conta de serviço criando ou atualizando um recurso Cloud Run tenha permissão explícita para acessar as imagens do contêiner.
"O principal (usuário ou conta de serviço) criando ou atualizando um recurso Cloud Run agora precisa de permissão explícita para acessar as imagens do contêiner", disse o gigante da tecnologia em suas notas de lançamento para o Cloud Run em janeiro de 2025.
Ao usar o Artifact Registry, assegure-se de que o principal tem a função IAM de Artifact Registry Reader (roles/artifactregistry.reader) no projeto ou repositório contendo as imagens do contêiner a serem implantadas.
A Tenable caracterizou o ImageRunner como uma instância do que chama de Jenga, que surge devido à natureza interconectada de vários serviços em nuvem, causando riscos de segurança a serem passados adiante.
"Os provedores de nuvem constroem seus serviços em cima de seus outros serviços existentes", disse Matan.
Se um serviço é atacado ou comprometido, os outros construídos em cima dele herdam o risco e se tornam vulneráveis também.
Este cenário abre a porta para os atacantes descobrirem novas oportunidades de escalonamento de privilégios e até vulnerabilidades, e introduz novos riscos ocultos para os defensores.
A divulgação vem semanas após a Praetorian detalhar várias maneiras de um principal de menor privilégio abusar de uma máquina virtual Azure (VM) para ganhar controle sobre uma assinatura Azure:
- Executar comandos em uma VM Azure associada a uma identidade gerenciada administrativa;
- Fazer login em uma VM Azure associada a uma identidade gerenciada administrativa;
- Anexar uma identidade gerenciada de usuário administrativo existente a uma VM Azure existente e executar comandos nessa VM;
- Criar uma nova VM Azure, anexar uma identidade gerenciada administrativa existente a ela e executar comandos nessa VM usando ações do plano de dados.
"Após obter a função de Proprietário para uma assinatura, um atacante pode ser capaz de aproveitar seu controle amplo sobre todos os recursos da assinatura para encontrar um caminho de escalonamento de privilégios para o locatário do Entra ID", disseram os pesquisadores de segurança Andrew Chang e Elgin Lee.
Este caminho é baseado em um recurso de computação na assinatura da vítima com um principal de serviço com permissões do Entra ID que pode permitir que ele se eleve a Administrador Global.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...