Google Cloud Build’te yeni keşfedilen bir güvenlik açığı, saldırganların Google’ın paketler ve kapsayıcı görüntüleri gibi yazılım eserlerini barındırma deposu olan Artifact Registry’de depolanan görüntülere müdahale etmesine ve bu görüntülere kötü amaçlı yazılım enjekte etmesine olanak tanır.
Daha sonra güvenliği ihlal edilmiş bu kapsayıcı görüntülerinden yararlanan tüm uygulamalar, kötü amaçlı yazılım bulaşmaları, hizmet reddi saldırıları, veri hırsızlığı ve diğer olumsuz etkiler riskini taşır.
Bad.Build Sorunu
Orca Security’deki araştırmacılar kısa bir süre önce, bir Google bulut platformu kaynağıyla ilişkili bir uygulama programlama arabirimi (API) çağrı isteğini analiz ederken Bad.Build adını verdikleri kusuru keşfettiler. Sorunu, sorunu araştıran ve Haziran ayında bir düzeltme yayınlayan Google’a bildirdiler.
Ancak Orca, bu haftaki bir rapordadüzeltmeyi yetersiz olarak nitelendirdi ve güvenlik açığını yalnızca kısmen ele aldı.
Orca bulut tehdidi araştırmacısı Roi Nisimi, “Kusur, saldırganların uygulama görüntülerini kötü niyetli bir şekilde kurcalamasına izin verdiği için önemli bir tedarik zinciri riski oluşturuyor ve bu da, uygulamayı yüklediklerinde kullanıcılara ve müşterilere bulaşabiliyor” dedi. “SolarWinds ve son 3CX ve MOVEit tedarik zinciri saldırılarında gördüğümüz gibi, bunun geniş kapsamlı sonuçları olabilir.”
Orca’ya göre Bad.Build kusuru gerçekten bir tasarım sorunu ve Google Cloud Build hizmetiyle ilişkili varsayılan izinlerle ilgili. Hizmetle ilişkili aşırı izinler, rakiplere bir Google Cloud Build “Projesi”ndeki tüm GCP hesaplarıyla ilişkili izinlerin tam listesini içeren denetim günlüklerine erişmeleri için nispeten kolay bir yol sağlar.
Nisimi, “Bu bilgiyi bu kadar kazançlı kılan şey, çevrede yanal hareketi ve ayrıcalık artışını büyük ölçüde kolaylaştırmasıdır.” Dedi. “Hangi GCP hesabının hangi eylemi gerçekleştirebileceğini bilmek, bir saldırının nasıl başlatılacağına ilişkin yapbozun büyük bir parçasını çözmekle eşdeğerdir.”
Orca’nın araştırmacıları, yeni bir derleme (cloudbuild.builds.create) oluşturma iznine sahip bir GCP hesabı kullanarak Cloud Build Service hesabının kimliğine bürünebileceklerini ve tüm Proje izinlerini görüntüleyebileceklerini keşfettiler. Nisimi, Dark Reading’e yaptığı açıklamada, “Bir saldırganın, içeriden erişim yoluyla veya bu izne sahip bir kullanıcıya yetkisiz erişim elde eden bir dışarıdan biri tarafından elde edilebilecek cloudbuild.builds.create iznine erişimi olması gerekir” diyor. .
Yararlanması Basit
“Cloud Build sunucularında genel bir Gcloud görüntüsü oluşturmak için yalnızca üç satırlık kod yürütmeleri ve komutlarımızda gösterildiği gibi komutları çalıştırmaları gerekir. kavramın ispatı kullanıcının ayrıcalıklarını yükseltmek ve Cloud Build Hizmet Hesabının gerçekleştirmesine izin verilen herhangi bir eylemi gerçekleştirmek için” diyor.
Nisimi, Google’ın Bad.Build düzeltmesinin, varsayılan Google Cloud Build hizmet rolünden günlük kaydı iznini kaldırdığını, bunun da belirli bir hizmetin, her değişiklik olduğunda tüm Proje izinlerini listeleyen denetim günlüklerine artık erişemeyeceği anlamına geldiğini belirtiyor.
Ancak, aynı şeyi yapabilen cloudbuild.builds.create iznine sahip diğer rollerin tam bir listesi vardır. Cloudbuild.builds.create iznine sahip herhangi bir kullanıcı, kuruluşlar Google Cloud Build hizmetinin varsayılan izinlerini özel olarak iptal etmedikçe, ayrıcalıkları yükseltebilir ve görüntüleri manipüle etmek ve bunlara kötü amaçlı kod eklemek dahil olmak üzere çok çeşitli eylemleri gerçekleştirebilir, diyor.
Bir Google sözcüsü kusur veya kısmi düzeltme iddiaları hakkında çok az şey söyledi. “Araştırmacıların çalışmalarını takdir ediyoruz ve raporlarına dayalı olarak bir düzeltmeyi dahil ettik. güvenlik bülteni Haziran başında yayınlanacak” dedi.
Sınırlayıcı Ayrıcalıklar
Kullanıcılar bir projede Cloud Build API’yi etkinleştirdiğinde, Cloud Build otomatik olarak bir varsayılan hizmet hesabı Google’ın güvenlik açığıyla ilgili tavsiyesine göre, derlemeleri kullanıcı adına yürütmek. Bu Cloud Build hizmet hesabı, daha önce derlemenin varsayılan olarak özel günlüklere erişmesine izin veriyordu, ancak 8 Haziran güvenlik bülteninde belirtildiği gibi, “Bu izin, şu anda Cloud Build hizmet hesabından, en az ayrıcalık güvenlik ilkesi.”
Nisimi’ye göre Google’ın duruşu, sorunun kuruluşların Cloud Build için etkinleştirmeyi seçtiği varsayılan izinler olduğu yönünde görünüyor. “Google, açıklandığı gibi bir tedarik zinciri saldırısı riski olduğunun farkındadır, ancak bu risk, en yaygın geliştirme iş akışlarını destekleyen varsayılan izinlerin seçimi etrafında dönmektedir.”
Google’ın duruşu, müşterilerin daha gelişmiş senaryolar için erişimi daha fazla kilitlemekten sorumlu olduğu yönündedir. Nisimi, “Bu nedenle tedarik zinciri riski kalıcıdır ve kuruluşlar, tedarik zinciri saldırısı riskini azaltmak için cloudbuild.builds.create iznini mümkün olduğunca sınırlamalıdır” diyor.