Siber güvenlik araştırmacıları, Google Cloud Platform (GCP) bulut çalışmasında, kötü niyetli bir aktörün kapsayıcı görüntülerine erişmesine ve hatta kötü amaçlı kod enjekte etmesine izin verebilecek artık paketlenmiş ayrıcalık artış güvenlik açığının ayrıntılarını açıkladılar.
Hacker Güvenlik Araştırmacısı Liv Matan, hacker News ile paylaşılan bir raporda, “Güvenlik açığı, böyle bir kimliğin özel Google Artefakt kayıt defterini ve Google Container kayıt defteri görüntülerini aynı hesapta çekmek için Google Cloud Run Revizyon Düzenleme İzinlerini kötüye kullanmasına izin verebilir.” Dedi.
Güvenlik eksikliği siber güvenlik şirketi tarafından ImagerUnner kodlandı. Sorumlu açıklamanın ardından Google, 28 Ocak 2025 itibariyle sorunu ele aldı.
Google Cloud Run, kapsayıcı uygulamaları ölçeklenebilir, sunucusuz bir ortamda yürütmek için tam olarak yönetilen bir hizmettir. Teknoloji bir hizmeti çalıştırmak için kullanıldığında, konteyner görüntüleri, görüntü URL’sini belirterek sonraki dağıtım için Artefakt Kayıt Defteri’nden (veya Docker Hub) alınır.
Söz konusu olan, konteyner kayıt defteri izinlerinden yoksun ancak Google Cloud RUN revizyonlarında düzenleme izinleri olan bazı kimlikler olmasıdır.
Bir Cloud Run hizmeti her dağıtıldığında veya güncellendiğinde, yeni bir sürüm oluşturulur. Ve bir bulut çalıştırma revizyonu her dağıtıldığında, gerekli görüntüleri çekmek için bir servis aracısı hesabı kullanılır.
Matan, “Bir saldırgan bir kurbanın projesi içinde – özellikle run.services.update ve iam.serviceaccounts.actas izinleri içinde belirli izinler kazanırsa, bir bulut çalışma hizmetini değiştirebilir ve yeni bir revizyon dağıtabilirler.” “Bunu yaparken, hizmetin çekmesi için aynı proje içindeki herhangi bir özel konteyner görüntüsünü belirleyebilirler.”
Dahası, saldırgan bir kurbanın kayıtlarında depolanan hassas veya tescilli görüntülere erişebilir ve hatta yürütüldüğünde sırlar çıkarmak, hassas verileri dışarı atmak ve hatta kontrolleri altındaki bir makineye bir ters kabuk açmak için istismar edilebilecek kötü amaçlı talimatlar getirebilir.
Google Now tarafından yayınlanan yama, bir bulut run kaynağını oluşturma veya güncelleme kullanıcı veya hizmet hesabının kapsayıcı resimlerine erişmek için açık bir iznine sahip olmasını sağlar.
Tech Giant, Ocak 2025’te Cloud Run için sürüm notlarında “Bir bulut run kaynağını oluşturmak veya güncellemek artık konteyner görüntülerine erişmek için açık bir izin almaya ihtiyaç duyuyor.”
“Artefakt Kayıt Defteri’ni kullanırken, müdürün, konteyner görüntülerini içeren proje veya depodaki Artefakt Kayıt Defteri Okuyucusu (Roller/Artifactregistry.reader) IAM rolüne sahip olduğundan emin olun.”
Tenable, Imagerunner’ı çeşitli bulut hizmetlerinin birbirine bağlı doğası nedeniyle ortaya çıkan ve güvenlik risklerinin aktarılmasına neden olan Jenga dediği şeyin bir örneği olarak karakterize edilmiştir.
Matan, “Bulut sağlayıcıları hizmetlerini diğer mevcut hizmetlerinin üstünde oluşturuyorlar.” Dedi. Diyerek şöyle devam etti: “Bir hizmet saldırıya uğrar veya tehlikeye atılırsa, üstüne inşa edilen diğerleri riski devralır ve savunmasız hale gelir.”
“Bu senaryo, saldırganların yeni ayrıcalık artış fırsatlarını ve hatta güvenlik açıklarını keşfetmeleri için kapıyı açıyor ve savunucular için yeni gizli riskler getiriyor.”
Açıklama, Praetorian’ın daha düşük ayrıcalıklı bir müdürün Azure aboneliği üzerinde kontrol kazanmak için bir Azure Sanal Makinesi’ni (VM) kötüye kullanabileceği birkaç yoldan ayrıntılı olarak gelir –
- Yönetimsel yönetilen bir kimlikle ilişkili bir Azure VM’deki komutları yürütün
- İdari yönetilen bir kimlik ile ilişkili bir Azure VM’ye giriş yapın
- Mevcut bir Azure VM’ye mevcut idari kullanıcı tarafından atanan yönetilen bir kimlik ekleyin ve o VM’deki komutları yürüt
- Yeni bir Azure VM oluşturun, Mevcut Yönetici Yönetilen Bir Kimlik Ekleyin ve Veri Düzlemi Eylemlerini kullanarak bu VM’deki komutları yürütün
Güvenlik araştırmacıları Andrew Chang ve Elgin Lee, “Bir aboneliğin sahibi rolünü aldıktan sonra, bir saldırgan, Entra ID kiracısına bir ayrıcalık artış yolu bulmak için tüm abonelik kaynakları üzerindeki geniş kontrollerinden yararlanabilir.” Dedi.
Diyerek şöyle devam etti: “Bu yol, kurban aboneliğindeki bir hesaplama kaynağına, kendisini küresel yöneticiye yükseltmesine izin verebilecek entra kimlik izinlerine sahip bir hizmet müdürü ile öngörülüyor.”