Siber güvenlik araştırmacıları, Google Cloud’da, kötü niyetli aktörlerin uygulama görüntülerini kurcalamasına ve kullanıcıları etkileyerek tedarik zinciri saldırılarına yol açmasına olanak tanıyan bir ayrıcalık yükseltme güvenlik açığını ortaya çıkardı.
adlı mesele Kötü.İnşaSorunu keşfeden ve bildiren bulut güvenlik firması Orca’ya göre, , Google Cloud Build hizmetinde kök salmıştır.
The Hacker News ile paylaşılan bir açıklamada şirket, “Saldırganlar, kusuru kötüye kullanarak ve varsayılan Cloud Build hizmetinin kimliğine bürünmeyi etkinleştirerek, Google Artifact Registry’deki görüntüleri manipüle edebilir ve kötü amaçlı kod enjekte edebilir.” Dedi.
“Manipüle edilmiş görüntülerden oluşturulan tüm uygulamalar daha sonra etkilenir ve hatalı biçimlendirilmiş uygulamaların müşterinin ortamlarına dağıtılması amaçlanırsa, risk tedarik eden kuruluşun ortamından müşterilerinin ortamlarına geçerek büyük bir tedarik zinciri riski oluşturur.”
Sorumlu ifşanın ardından Google, ayrıcalık yükseltme vektörünü ortadan kaldırmayan ve bunu düşük önem dereceli bir sorun olarak tanımlayan kısmi bir düzeltme yayınladı. Müşterinin başka bir işlem yapmasına gerek yoktur.
Tasarım kusuru, Cloud Build’in kullanıcılar adına bir proje için derlemeleri yürütmek üzere otomatik olarak bir varsayılan hizmet hesabı oluşturmasından kaynaklanır. Özellikle, hizmet hesabı, projedeki tüm izinlerin tam listesini içeren denetim günlüklerine erişim sağlayan aşırı izinlerle (“logging.privateLogEntries.list”) gelir.
Orca araştırmacısı Roi Nisimi, “Bu bilgiyi bu kadar kazançlı kılan şey, çevrede yanal hareketi ve ayrıcalık artışını büyük ölçüde kolaylaştırmasıdır.” Dedi. “Hangi GCP hesabının hangi eylemi gerçekleştirebileceğini bilmek, bir saldırının nasıl başlatılacağına ilişkin yapbozun büyük bir parçasını çözmekle eşdeğerdir.”
Bunu yaparken kötü niyetli bir aktör, Google Cloud Build hizmet hesabının kimliğine bürünmek ve yükseltilmiş ayrıcalıklar elde etmek için başka yollarla zaten alınmış olan “cloudbuild.builds.create” iznini kötüye kullanabilir, Google Kubernetes Engine (GKE) içinde kullanılan bir görüntüyü dışarı sızdırabilir. ve kötü amaçlı yazılım içerecek şekilde değiştirin.
Nisimi, “Kötü amaçlı görüntü dağıtıldıktan sonra, saldırgan bundan yararlanabilir ve docker kapsayıcısında kök olarak kod çalıştırabilir” dedi.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Bugün katıl
Google tarafından uygulamaya konulan yama, Cloud Build hizmet hesabından logging.privateLogEntries.list iznini iptal ederek varsayılan olarak numaralandırılmış özel günlüklere erişimi engeller.
Bu, Google Cloud Platform’u etkileyen ayrıcalık yükseltme kusurlarının ilk kez rapor edilişi değil. 2020’de Gitlab, Rhino Security Labs ve Praetorian, bulut ortamlarını tehlikeye atmak için kullanılabilecek çeşitli teknikleri ayrıntılı olarak açıkladı.
Müşterilerin, olası kötü niyetli davranışları tespit etmek için varsayılan Google Cloud Build hizmet hesabının davranışını izlemeleri ve olası riskleri azaltmak için en düşük ayrıcalık ilkesini (PoLP) uygulamaları önerilir.