Google Cloud Build’te yeni keşfedilen bir güvenlik açığı, saldırganların Google’ın paketler ve kapsayıcı görüntüleri gibi yazılım eserlerini barındırma deposu olan Artifact Registry’de depolanan görüntülere müdahale etmesine ve bu görüntülere kötü amaçlı yazılım enjekte etmesine olanak tanır.
Daha sonra güvenliği ihlal edilmiş bu kapsayıcı görüntülerinden yararlanan tüm uygulamalar, kötü amaçlı yazılım bulaşmaları, hizmet reddi saldırıları, veri hırsızlığı ve diğer olumsuz etkiler riskini taşır.
Bad.Build Sorunu
Orca Security’deki araştırmacılar kısa bir süre önce, bir Google bulut platformu kaynağıyla ilişkili bir uygulama programlama arabirimi (API) çağrı isteğini analiz ederken Bad.Build adını verdikleri kusuru keşfettiler. Sorunu, sorunu araştıran ve Haziran ayında bir düzeltme yayınlayan Google’a bildirdiler.
Ancak Orca, bu hafta yayınladığı bir raporda, düzeltmenin yetersiz olduğunu ve güvenlik açığını yalnızca kısmen ele aldığını belirtti.
Orca bulut tehdidi araştırmacısı Roi Nisimi, “Kusur, saldırganların uygulama görüntülerini kötü niyetli bir şekilde kurcalamasına izin verdiği için önemli bir tedarik zinciri riski oluşturuyor ve bu da, uygulamayı yüklediklerinde kullanıcılara ve müşterilere bulaşabiliyor” dedi. “SolarWinds ve son 3CX ve MOVEit tedarik zinciri saldırılarında gördüğümüz gibi, bunun geniş kapsamlı sonuçları olabilir.”
Orca’ya göre Bad.Build kusuru gerçekten bir tasarım sorunu ve Google Cloud Build hizmetiyle ilişkili varsayılan izinlerle ilgili. Hizmetle ilişkili aşırı izinler, rakiplere bir Google Cloud Build “Projesi”ndeki tüm GCP hesaplarıyla ilişkili izinlerin tam listesini içeren denetim günlüklerine erişmeleri için nispeten kolay bir yol sağlar.
Nisimi, “Bu bilgiyi bu kadar kazançlı kılan şey, çevrede yanal hareketi ve ayrıcalık artışını büyük ölçüde kolaylaştırmasıdır.” Dedi. “Hangi GCP hesabının hangi eylemi gerçekleştirebileceğini bilmek, bir saldırının nasıl başlatılacağına ilişkin yapbozun büyük bir parçasını çözmekle eşdeğerdir.”
Orca’nın araştırmacıları, yeni bir derleme (cloudbuild.builds.create) oluşturma iznine sahip bir GCP hesabı kullanarak Cloud Build Service hesabının kimliğine bürünebileceklerini ve tüm Proje izinlerini görüntüleyebileceklerini keşfettiler. Nisimi, Dark Reading’e yaptığı açıklamada, “Bir saldırganın, içeriden erişim yoluyla veya bu izne sahip bir kullanıcıya yetkisiz erişim elde eden bir dışarıdan biri tarafından elde edilebilecek cloudbuild.builds.create iznine erişimi olması gerekir” diyor. .
Yararlanması Basit
“Cloud Build sunucularında genel bir Gcloud görüntüsü oluşturmak için yalnızca üç satır kod yürütmeleri ve kullanıcının ayrıcalıklarını yükseltmek ve Cloud Build Hizmet Hesabının izin verdiği herhangi bir eylemi gerçekleştirmek için kavram kanıtlamamızda gösterildiği gibi komutları çalıştırmaları gerekir. gerçekleştirmek” diyor.
Nisimi, Google’ın Bad.Build düzeltmesinin, varsayılan Google Cloud Build hizmet rolünden günlük kaydı iznini kaldırdığını, bunun da belirli bir hizmetin, her değişiklik olduğunda tüm Proje izinlerini listeleyen denetim günlüklerine artık erişemeyeceği anlamına geldiğini belirtiyor.
Ancak, aynı şeyi yapabilen cloudbuild.builds.create iznine sahip diğer rollerin tam bir listesi vardır. Cloudbuild.builds.create iznine sahip herhangi bir kullanıcı, kuruluşlar Google Cloud Build hizmetinin varsayılan izinlerini özel olarak iptal etmedikçe, ayrıcalıkları yükseltebilir ve görüntüleri manipüle etmek ve bunlara kötü amaçlı kod eklemek dahil olmak üzere çok çeşitli eylemleri gerçekleştirebilir, diyor.
Bir Google sözcüsü kusur veya kısmi düzeltme iddiaları hakkında çok az şey söyledi. “Araştırmacıların çalışmalarını takdir ediyoruz ve Haziran başında yayınlanan bir güvenlik bülteninde belirtildiği gibi raporlarına dayalı bir düzeltme ekledik” dedi.
Sınırlayıcı Ayrıcalıklar
Kullanıcılar bir projede Cloud Build API’yi etkinleştirdiğinde, Google’ın güvenlik açığıyla ilgili tavsiyesine göre Cloud Build, kullanıcı adına derlemeleri yürütmek için otomatik olarak bir varsayılan hizmet hesabı oluşturur. Bu Cloud Build hizmet hesabı, daha önce derlemenin varsayılan olarak özel günlüklere erişmesine izin veriyordu, ancak 8 Haziran güvenlik bülteninde belirtildiği gibi, “Bu izin, en az ayrıcalıklı güvenlik ilkesine uymak için Cloud Build hizmet hesabından şimdi iptal edildi. “
Nisimi’ye göre Google’ın duruşu, sorunun kuruluşların Cloud Build için etkinleştirmeyi seçtiği varsayılan izinler olduğu yönünde görünüyor. “Google, açıklandığı gibi bir tedarik zinciri saldırısı riski olduğunun farkındadır, ancak bu risk, en yaygın geliştirme iş akışlarını destekleyen varsayılan izinlerin seçimi etrafında dönmektedir.”
Google’ın duruşu, müşterilerin daha gelişmiş senaryolar için erişimi daha fazla kilitlemekten sorumlu olduğu yönündedir. Nisimi, “Bu nedenle tedarik zinciri riski kalıcıdır ve kuruluşlar, tedarik zinciri saldırısı riskini azaltmak için cloudbuild.builds.create iznini mümkün olduğunca sınırlamalıdır” diyor.