Los investigadores de seguridad cibernética han descubierto una vulnerabilidad de escalada de privilegios en Google Cloud que podría permitir que los actores malintencionados manipulen las imágenes de la aplicación e infecten a los usuarios, lo que provocaría ataques a la cadena de suministro.
El problema, denominado Bad.Buildtiene sus raíces en el Servicio Google Cloud Buildsegún la firma de seguridad en la nube Orca, que descubrió e informó el problema.
“Al abusar de la falla y permitir una suplantación del servicio Cloud Build predeterminado, los atacantes pueden manipular imágenes en el Registro de artefactos de Google e inyectar código malicioso”, dijo la compañía. dicho en un comunicado compartido con The Hacker News.
“Todas las aplicaciones creadas a partir de las imágenes manipuladas se ven afectadas y, si las aplicaciones mal formadas están destinadas a implementarse en los entornos de los clientes, el riesgo pasa del entorno de la organización proveedora a los entornos de sus clientes, lo que constituye un riesgo importante en la cadena de suministro”.
Tras la divulgación responsable, Google ha emitido una solución parcial que no elimina el vector de escalada de privilegios, describiéndolo como un problema de baja gravedad. No se requiere ninguna otra acción del cliente.
La falla de diseño se deriva del hecho de que Cloud Build crea automáticamente una cuenta de servicio predeterminada para ejecutar compilaciones para un proyecto en nombre de los usuarios. Específicamente, la cuenta de servicio viene con permisos excesivos (“logging.privateLogEntries.list”), lo que permite acceder a los registros de auditoría que contienen la lista completa de todos los permisos del proyecto.
“Lo que hace que esta información sea tan lucrativa es que facilita en gran medida el movimiento lateral y la escalada de privilegios en el entorno”, dijo el investigador de orcas Roi Nisimi. “Saber qué cuenta de GCP puede realizar qué acción equivale a resolver una gran pieza del rompecabezas sobre cómo lanzar un ataque”.
Al hacerlo, un actor malintencionado podría abusar del permiso “cloudbuild.builds.create” ya obtenido por otros medios para suplantar la cuenta del servicio Google Cloud Build y obtener privilegios elevados, exfiltrar una imagen que se está utilizando dentro de Google Kubernetes Engine (GKE) y modifíquelo para incorporar malware.
“Una vez que se implementa la imagen maliciosa, el atacante puede explotarla y ejecutar el código en el contenedor docker como root”, explicó Nisimi.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
El parche implementado por Google revoca el permiso logging.privateLogEntries.list de la cuenta de servicio de Cloud Build, lo que impide el acceso para enumerar registros privados de forma predeterminada.
Esta no es la primera vez que se informan fallas en la escalada de privilegios que afectan a Google Cloud Platform. En 2020, Gitlab, Rhino Security Labs y Praetorian detallado varios tecnicas eso podria ser explotado comprometer los entornos de nube.
Se recomienda a los clientes que supervisen el comportamiento de la cuenta de servicio predeterminada de Google Cloud Build para detectar cualquier posible comportamiento malicioso, así como aplicar el principio de privilegio mínimo (PoLP) para mitigar los posibles riesgos.