Araştırmacılar, Google Cloud Build’te, kötü niyetli kişilerin uygulama görüntülerini kurcalamasına ve kullanıcıları etkilemesine olanak sağlayabilecek bir ayrıcalık yükseltme güvenlik açığını ortaya çıkardı.
Orca Security’deki araştırmacılar, Google Cloud Build hizmetinde bir tasarım kusuru buldular. Saldırganlar, Google’ın Artifact Registry’sindeki kod havuzlarına yetkisiz erişimle sonuçlanan Ayrıcalık Arttırma elde edebilirdi.
Araştırmacılar güvenlik açığını Bad.Build olarak adlandırdılar ve bunun 3CX, MOVEit ve SolarWinds’teki kusurların kullanılmasından kaynaklananlar gibi tedarik zinciri saldırılarıyla karşılaştırılabilir geniş kapsamlı sonuçlara sahip olabileceğini söylediler.
Güvenlik açığı Haziran ayında giderildi ve Google’a göre başka bir kullanıcı işlemi gerekmiyor. Ancak güvenlik araştırmacıları, Google’ın düzeltmesinin yalnızca keşfedilen Ayrıcalık Arttırma (PE) vektörünü sınırladığını ve kuruluşların daha büyük tedarik zinciri riskine karşı hala savunmasız olduğunu iddia ediyor.
Araştırmacılar, Bad.Build tasarım kusurundan nasıl yararlanılabileceğini açıklamaya devam ettiğinden, Google Cloud Build kullanıcılarına harekete geçmeleri tavsiye ediliyor. Aşağıda (Azaltma altında) ne yapacağınızı size bildireceğiz.
İlk olarak, soruna bir göz atalım.
Geleneksel yazılım geliştirmede, programcılar bir uygulamayı yalnızca başka bir ortama yerleştirildiğinde hataları veya hataları bulmak için bir bilgi işlem ortamında kodlarlar. Bunu hesaba katmak için geliştiriciler, uygulamalarını bulutta barındırılan kapsayıcılarda çalışması gereken tüm ilgili yapılandırma dosyaları, kitaplıklar ve bağımlılıklarla birlikte paketler. Bu yönteme konteynerizasyon denir.
Google Cloud Build, Google Cloud tarafından sağlanan ve kapsayıcı görüntülerin buluta alınmasını kolaylaştıran, yönetilen bir sürekli entegrasyon ve dağıtım (CI/CD) hizmetidir. Cloud Build, görevlerinizi yürütmek için bir Cloud Build yapılandırma dosyasında başvurabileceğiniz önceden oluşturulmuş görüntüler de sağlar.
Artifact Registry, bu yapıların durumunu sürekli olarak izleyip güncellerken kullandığınız paketlere genel bir bakış sağlar. Bu, yazılım geliştirme ve teslim sürecinizde kullanılan paketler, görüntüler ve diğer bağımlılıklar üzerinde bilgi ve kontrol sağlar.
Araştırmacılar tarafından ortaya çıkarılan kusur, varsayılan Cloud Build hizmet hesabının kimliğine bürünmeyi mümkün kılıyor. Bir saldırgan, kusurdan yararlanarak Google’ın Artifact Registry’sindeki görüntüleri manipüle edebilir ve kötü amaçlı kod enjekte edebilir. Bu görüntülerin tedarik eden kuruluşun müşterileri tarafından kullanılması amaçlanıyorsa, risk tedarik eden kuruluşun ortamından müşterilerinin ortamlarına geçerek bir tedarik zinciri saldırısı oluşturur.
Sorun hakkında bilgilendirildiğinde Google, logging.privateLogEntries.list En az ayrıcalıklı güvenlik ilkesine bağlı kalmak için Cloud Build hizmet hesabından IAM izni. Bir projede Cloud Build API’yi etkinleştirdiğinizde, Cloud Build, derlemeleri sizin adınıza yürütmek için otomatik olarak bir varsayılan hizmet hesabı oluşturur. Bu Cloud Build hizmet hesabının önceden, yapının varsayılan olarak özel günlükleri listeleme erişimine sahip olmasına izin veren izni vardı. Ancak, iptal edilen izin Artifact Registry ile ilgili değildi.
Sonuç olarak, bir saldırgan eser kaydı Google Kubernetes Engine (GKE) içinde kullanılan bir resmi indirme ve dışarı sızdırma izinleri. Daha sonra görüntüye kötü amaçlı kod enjekte edebilir ve bunu, daha sonra bir kez daha GKE’ye dağıtılan yapı kayıt defterine geri gönderebilirler. Kötü amaçlı görüntü dağıtıldıktan sonra, saldırgan bundan yararlanabilir ve liman işçisi kapsayıcısında kök olarak kod çalıştırabilir.
Azaltma
Araştırmacıların açıklığa kavuşturduğu bir şey varsa, o da kuruluşların varsayılan Google Cloud Build hizmet hesabının davranışına çok dikkat etmesinin önemli olduğudur. Akılda tutulması gereken bazı önemli unsurlar:
- En az ayrıcalık ilkesi. İzinleri gerekenlerle sınırlayın ve verilen izinleri takip edin.
- Bulut algılama ve yanıtını uygulayın. Bir şeyler ters giderse, bunu olabildiğince erken öğrenmek önemlidir.
- Risklere öncelik verin, ancak görünüşte zararsız olan iki veya daha fazla güvenlik açığının bir araya gelmesinin ölümcül bir saldırıya zincirlenebileceği gerçeğini de gözden kaçırmayın.
Google, hizmet hesaplarına verilen erişimin “bağımsız çalışan otomatik sistemlerin doğası” olduğunu açıklayarak Orca Security’nin değerlendirmesini reddetti, ancak her ikisi de izinleri kontrol etmenin ve tehdit modelinize bağlı olarak uygun gördüğünüz şekilde ayarlamanın önemli olduğu konusunda hemfikirdi.
Malwarebytes EDR ve MDR’yi kaldırın
fidye yazılımının tüm kalıntılarını ortadan kaldırır ve yeniden bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE