Башня из блоков Jenga: новая модель уязвимостей в облачных сервисах

Исследователи в области кибербезопасности сообщили о ликвидированной уязвимости в Google Cloud Platform (GCP), которая затрагивала сервис Cloud Run. Проблема позволяла злоумышленнику получить доступ к контейнерным образам и внедрить в них вредоносный код, используя особые права на редактирование ревизий без доступа к самому реестру.

Уязвимость получила кодовое имя ImageRunner. По данным Tenable, уязвимость связана с тем, как Cloud Run обрабатывает развёртывание новых версий сервисов. Каждый раз при обновлении создаётся новая ревизия, и для загрузки образов используется сервисный агент. Однако в рамках одного аккаунта могли существовать идентичности, не обладающие прямыми правами доступа к реестру, но имеющие права на редактирование сервисов Cloud Run. Это открывало путь к обходу проверок доступа.

Если злоумышленник получал разрешения run.services.update и iam.serviceAccounts.actAs, он мог изменить конфигурацию Cloud Run и указать произвольный приватный контейнерный образ, уже находящийся в проекте. В результате можно было не только получить доступ к конфиденциальным данным, хранящимся в контейнерах, но и внедрить команды для кражи секретов или установления обратного соединения с управляющим сервером.

Google закрыл уязвимость 28 января 2025 года. Теперь любой пользователь или сервисный аккаунт, выполняющий развёртывание или обновление ресурса Cloud Run, должен обладать явным разрешением на доступ к образам. Компания отдельно подчеркнула необходимость назначения роли Artifact Registry Reader (roles/artifactregistry.reader) для работы с приватными образами в реестрах.

Tenable описывает ImageRunner как часть более широкой категории рисков, обозначаемой как Jenga — отсылка к хрупкости башни, составленной из блоков. Подобно этой игре, где удаление одного элемента может привести к обрушению всей конструкции, связность облачных сервисов создаёт цепочки уязвимостей. Если одна служба взломана, уязвимыми становятся и другие, использующие её как основу.

Исследование подчёркивает, что современные облачные инфраструктуры становятся всё более сложными и взаимосвязанными, и это создаёт новые возможности для повышения привилегий и скрытых угроз. Безопасность в таких средах требует глубокого понимания не только настроек, но и архитектурных взаимосвязей между компонентами.

На фоне этого инцидента стоит упомянуть о другой недавней находке — специалисты Praetorian продемонстрировали несколько способов эскалации привилегий в Azure. В частности, использование виртуальных машин с административными управляемыми идентичностями позволяет злоумышленникам выполнять команды, входить в систему, а также создавать или изменять ресурсы с привязанными правами. Всё это может привести к получению полного контроля над подпиской и, в некоторых случаях, к повышению прав до уровня глобального администратора в Entra ID.

Эти случаи указывают на общую тенденцию — злоумышленники всё чаще изучают тонкости реализации облачных сервисов, чтобы находить нестандартные пути обхода ограничений. Это требует от компаний не только своевременного применения обновлений, но и постоянного аудита архитектуры доступа и привилегий в облаке.