Хакеры могли получать доступ к секретным журналам платформы и совершать по-настоящему мощные атаки.
Специалисты кибербезопасности обнаружили уязвимость эскалации привилегий в Google Cloud Platform (GCP), которая может позволить злоумышленникам внедрять вредоносный код в образы приложений и инфицировать пользователей, приводя к атакам на цепочки поставок.
Как выяснили в компании Orca Security, обнаружившей и сообщившей о баге, уязвимость, получившая название «Bad.Build», затрагивает в первую очередь сервис Google Cloud Build (GCB).
«Злоупотребляя уязвимостью и выдавая себя за сервис Cloud Build по умолчанию, хакеры могут манипулировать образами в Google Artifact Registry (GAR) и внедрять вредоносный код», — сообщили исследователи.
«Любые приложения, собранные из изменённых образов, оказываются заражены. Если такие приложения развёртываются у клиентов поставщика, риск переходит из среды поставщика в среду клиентов, представляя серьёзную угрозу для всей цепочек поставок», — добавили в Orca Security.
После раскрытия уязвимости Google выпустила частичный фикс, который, впрочем, не устраняет вектор эскалации привилегий, а лишь отзывает уязвимое разрешение. Сама компания охарактеризовала уязвимость как незначительную. От клиентов не требуется никаких дополнительных действий.
Уязвимость обусловлена тем, что Cloud Build автоматически создаёт сервисный аккаунт по умолчанию для выполнения сборок проектов от имени пользователей. В частности, этот аккаунт получает чрезмерные разрешения, позволяющие доступ к журналам аудита со списком всех прав в проекте.
«Такая информация очень ценна, поскольку сильно облегчает горизонтальное перемещение и эскалацию привилегий в среде. Знать, какой аккаунт GCP может выполнить то или иное действие — всё равно что решить большую часть головоломки о том, как запустить атаку», — объяснил Рой Нисими из Orca.
Злоумышленники могут злоупотребить разрешением «cloudbuild.builds.create», полученным иным путём, чтобы выдать себя за аккаунт Cloud Build, повысить привилегии, эксфильтровать используемый в Google Kubernetes Engine (GKE) образ и модифицировать его, добавив вредоносный код.
«Как только заражённый образ развёрнут, атакующий может эксплуатировать его и запускать код в контейнере docker с правами root», — пояснил Нисими.
Схема эксплуатации уязвимости Bad.Build
Исправление от Google отзывает разрешение «logging.privateLogEntries.list» от аккаунта Cloud Build по умолчанию, тем самым предотвращая доступ к перечислению закрытых логов.
Клиентам рекомендуется следить за поведением аккаунта Cloud Build по умолчанию, чтобы выявлять возможные вредоносные действия, а также применять принцип использования наименьших привилегий для снижения рисков.
Это не первый случай обнаружения уязвимостей эскалации привилегий в Google Cloud Platform. В 2020 году о подобных проблемах сообщали Gitlab, Rhino Security Labs и Praetorian. А буквально на прошлой неделе об атаках на GCP с целью кражи учётных данных сообщили компании SentinelOne и Permiso.
Наш канал — питательная среда для вашего интеллекта