Bulut güvenliği, güvenlik işlemleri
Araştırmacılar, proje erişimine sahip saldırganın özel görüntüleri alabileceğini söyledi
Mathew J. Schwartz (Euroinfosec) •
1 Nisan 2025
Google, bulut bilişim hizmetleri paketinde, saldırganların konteyner görüntülerine yetkisiz erişim elde etmek için sömürülebileceği bir güvenlik açığı düzeltildi. Araştırmacılar, kusurun diğer hizmetlerin üzerine inşa edilen hizmetlerin beklenmedik güvenlik riskleri oluşturabileceğini vurguladığını söyledi.
Ayrıca bakınız: AI güdümlü teknolojilerle bulut güvenliğini geliştirin
Bu Google Cloud platform güvenlik açığı, bir kurbanın projesine temel erişim izinleri olan bir saldırganın, kötü niyetli talimatlar enjekte ederek ve saldırganın yararına bir yük yükünü düzenleyerek bir kurbanın konteyner kayıt defterinde “özel bir görüntüye” erişmesine izin verdi. Imagerunner olarak adlandırdığı kusuru Google’a keşfetti ve bildirdi.
Raporu yazan Tenable kıdemli güvenlik araştırmacısı Liv Matan, “Gerçek dünya senaryosunda, bir saldırgan bu güvenlik açığını veri hırsızlığı veya casusluk için kullanacaktı.” Dedi. “Saldırgan, kodlarını özel görüntünün içeriğini incelemek, içinde depolanan sırları çıkarmak veya hatta hassas verileri dışarı atmak için kullanabilir.” Bulut bilişimde, bir kap görüntüsü sunucusuz bir altyapı üzerinde bir yazılım uygulamasını yürütmek için gereken her şeyi içerir.
Tenable, güvenlik açığının bulut ortamlarındaki uzun bir katmanlı güvenlik problemlerinin en sonuncusu olduğunu ve bulutu Jenga oyununa güvence altına alarak en son olduğunu söyledi. Oyuncular blokları alttan çıkarır ve üstüne yerleştirirler, kuleyi çökerek kaybeden biri olmamayı amaçlayarak (bkz: bkz: CloudImposer RCE Güvenlik Açığı Google Cloud platformunu hedefler).
Matan, birçok sağlayıcı “bir hizmetin üstünde bir hizmet oluşturacak,” sahne arkasında “yapı taşları, riskli temerrütleri bir katmandan diğerine miras alacak” dedi Matan. “Jenga oyununda, bulut hizmetleri bloklar gibidir. Bir hizmet tehlikeye girerse, üzerine inşa edilmiş diğer hizmetler risk ve kırılganlığı miras alır.”
Ya da Tenable’ın raporunun dediği gibi: “Bu senaryo, saldırganların yeni ayrıcalık artış fırsatlarını ve hatta güvenlik açıklarını keşfetmeleri için kapıyı açar ve savunucular için yeni gizli riskler getirir.”
Sorun, görevleri çekmekten sorumlu bir Google Cloud Run Service temsilcisi içeriyordu. Kusur, ilk olarak kimlik ve erişim yönetim sistemi aracılığıyla kullanıcının, dağıtılmasına izin vermeden önce kapsayıcı bir uygulamaya açık bir okuma erişimi olduğunu doğrulamamasıydı.
Google, güvenlik açığını düzeltmek için 13 Ocak’ta GCP’yi güncelledi ve kullanıcıları, güncellemenin konteyner yönetimi ve depolamasını işleyen artefakt kayıt defterinin mevcut kullanımını kırabileceğini uyardı. Güncellemenin sürüm notları şu durumlarda: “Bir bulut run kaynağını oluşturmak veya güncellemek artık kapsayıcı görüntülerine erişmek için açık bir izin almaya ihtiyaç duyuyor.roles/artifactregistry.reader) Konteyner görüntülerini içeren proje veya depodaki rol IAM. “
Cloud Run her dağıtıldığında veya güncellendiğinde, o kullanıcının özel hizmeti için benzersiz olan yeni bir “revizyon” oluşturur. Kullanıcılar önce kapsayıcıları depolamak ve yönetmek için Artefakt Kayıt Defteri aracını kullanarak kullanılabilir kayıtlardan hangi görüntüyü dağıtacağını seçerler. Daha önce, kullanıcılar Konteyner Kayıt Defteri Aracı’nı da kullanabilirdi, ancak 18 Mart’ta Google, Artefakt Kayıt Defteri lehine kullanımdan kaldırıldı.
Bilgi Güvenlik Medya Grubuna verdiği demeçte, “Cloud Run bir revizyon dağıtım sürecinde görüntüler çekiyor.” “Cloud Run, Google Container Kayıt Defteri’nden veya eser kayıt defterinden görüntü almasına izin veren daha yüksek izinlere sahip olan temel işlemleri işleyen bir servis aracısı, otomatik bir ‘çalışan’ kullanır. Kötü amaçlı talimatlar enjekte ederek, bir saldırgan bu görüntüler içinde hassas verileri inceleyebilir.”
Saldırganların temel kazanması gerekirdi run.services.update Ve iam.serviceAccounts.actAs Tenable, “bulut run hizmetini değiştirmelerine ve yeni bir revizyon kullanmalarına” izin veren izinler. Kötü niyetli talimatları enjekte ederek, “Hizmetin çekmesi için aynı proje içindeki herhangi bir özel konteyner görüntüsünü belirleyebilirler,” özel görüntüleri kayıt defterinden çekmek için gerekli olan bu iki izinleri atlamalarına izin verebilirler: Storage Object Viewer veya Artifact Registry Reader. “