Siber güvenlik araştırmacıları, Google Cloud Platform (GCP) bulut çalışmasında, kötü niyetli bir aktörün kapsayıcı görüntülerine erişmesine ve hatta kötü amaçlı kod enjekte etmesine izin verebilecek artık paketlenmiş ayrıcalık artış güvenlik açığının ayrıntılarını açıkladılar.
“Güvenlik açığı, böyle bir kimliğin aynı hesapta özel Google Artefakt Kayıt Defteri ve Google Container kayıt defteri görüntülerini çekmek için Google Cloud Run Revizyon Düzenleme İzinlerini kötüye kullanmasına izin verebilirdi.” söz konusu Hacker News ile paylaşılan bir raporda.
Güvenlik eksikliği siber güvenlik şirketi tarafından ImagerUnner kodlandı. Sorumlu açıklamanın ardından Google, 28 Ocak 2025 itibariyle sorunu ele aldı.
Google Cloud Run ölçeklenebilir, sunucusuz bir ortamda kapsayıcı uygulamaları yürütmek için tam olarak yönetilen bir hizmettir. Teknoloji bir hizmet çalıştırmak için kullanıldığında, konteyner görüntüleri Artefakt Kayıt Defteri (veya Docker Hub) Görüntü URL’sini belirterek sonraki dağıtım için.
Söz konusu olan, konteyner kayıt defteri izinlerinden yoksun ancak Google Cloud RUN revizyonlarında düzenleme izinleri olan bazı kimlikler olmasıdır.
Bir Cloud Run hizmeti her dağıtıldığında veya güncellendiğinde, yeni bir sürüm oluşturulur. Ve her bulut çalıştırma revizyonu konuşlandırıldığında, Hizmet Temsilcisi Hesabı gerekli görüntüleri çekmek için kullanılır.
Matan, “Bir saldırgan bir kurbanın projesi içinde – özellikle run.services.update ve iam.serviceaccounts.actas izinleri içinde belirli izinler kazanırsa, bir bulut çalışma hizmetini değiştirebilir ve yeni bir revizyon dağıtabilirler.” “Bunu yaparken, hizmetin çekmesi için aynı proje içindeki herhangi bir özel konteyner görüntüsünü belirleyebilirler.”
Dahası, saldırgan bir kurbanın kayıtlarında depolanan hassas veya tescilli görüntülere erişebilir ve hatta yürütüldüğünde sırlar çıkarmak, hassas verileri dışarı atmak ve hatta kontrolleri altındaki bir makineye bir ters kabuk açmak için istismar edilebilecek kötü amaçlı talimatlar getirebilir.
Google Now tarafından yayınlanan yama, bir bulut run kaynağını oluşturma veya güncelleme kullanıcı veya hizmet hesabının kapsayıcı resimlerine erişmek için açık bir iznine sahip olmasını sağlar.
“Bir bulut run kaynağını oluşturmak veya güncellemek, artık konteyner görüntülerine erişmek için açık bir izin,” teknoloji devine erişmek için açık bir iznin (kullanıcı veya hizmet hesabı) ” söz konusu Ocak 2025’te Bulut Run için sürüm notlarında.
“Artefakt Kayıt Defteri’ni kullanırken, müdürün, konteyner görüntülerini içeren proje veya depodaki Artefakt Kayıt Defteri Okuyucusu (Roller/Artifactregistry.reader) IAM rolüne sahip olduğundan emin olun.”
Tenable, Imagerunner’ı çeşitli bulut hizmetlerinin birbirine bağlı doğası nedeniyle ortaya çıkan ve güvenlik risklerinin aktarılmasına neden olan Jenga dediği şeyin bir örneği olarak karakterize edilmiştir.
Matan, “Bulut sağlayıcıları hizmetlerini diğer mevcut hizmetlerinin üstünde oluşturuyorlar.” Dedi. Diyerek şöyle devam etti: “Bir hizmet saldırıya uğrar veya tehlikeye atılırsa, üstüne inşa edilen diğerleri riski devralır ve savunmasız hale gelir.”
“Bu senaryo, saldırganların yeni ayrıcalık artış fırsatlarını ve hatta güvenlik açıklarını keşfetmeleri için kapıyı açıyor ve savunucular için yeni gizli riskler getiriyor.”
Açıklama, Praetorian’ın daha düşük ayrıcalıklı bir müdürün Azure aboneliği üzerinde kontrol kazanmak için bir Azure Sanal Makinesi’ni (VM) kötüye kullanabileceği birkaç yoldan ayrıntılı olarak gelir –
- Yönetimsel yönetilen bir kimlikle ilişkili bir Azure VM’deki komutları yürütün
- İdari yönetilen bir kimlik ile ilişkili bir Azure VM’ye giriş yapın
- Mevcut bir Azure VM’ye mevcut idari kullanıcı tarafından atanan yönetilen bir kimlik ekleyin ve o VM’deki komutları yürüt
- Yeni bir Azure VM oluşturun, Mevcut Yönetici Yönetilen Bir Kimlik Ekleyin ve Veri Düzlemi Eylemlerini kullanarak bu VM’deki komutları yürütün
Güvenlik Araştırmacıları Andrew Chang ve Elgin Lee, “Bir abonelik için mal sahibi rolünü aldıktan sonra, bir saldırgan, Entra Kimlik Kiracısına bir ayrıcalık artış yolu bulmak için tüm abonelik kaynakları üzerindeki geniş kontrollerinden yararlanabilir.” söz konusu.
Diyerek şöyle devam etti: “Bu yol, kurban aboneliğindeki bir hesaplama kaynağına, kendisini küresel yöneticiye yükseltmesine izin verebilecek entra kimlik izinlerine sahip bir hizmet müdürü ile öngörülüyor.”
