Los investigadores de seguridad cibern\u00e9tica han descubierto una vulnerabilidad de escalada de privilegios en Google Cloud que podr\u00eda permitir que los actores malintencionados manipulen las im\u00e1genes de la aplicaci\u00f3n e infecten a los usuarios, lo que provocar\u00eda ataques a la cadena de suministro.<\/p>\n
El problema, denominado Bad.Build<\/strong>tiene sus ra\u00edces en el Servicio Google Cloud Build<\/a>seg\u00fan la firma de seguridad en la nube Orca, que descubri\u00f3 e inform\u00f3 el problema.<\/p>\n “Al abusar de la falla y permitir una suplantaci\u00f3n del servicio Cloud Build predeterminado, los atacantes pueden manipular im\u00e1genes en el Registro de artefactos de Google e inyectar c\u00f3digo malicioso”, dijo la compa\u00f1\u00eda. dicho<\/a> en un comunicado compartido con The Hacker News.<\/p>\n “Todas las aplicaciones creadas a partir de las im\u00e1genes manipuladas se ven afectadas y, si las aplicaciones mal formadas est\u00e1n destinadas a implementarse en los entornos de los clientes, el riesgo pasa del entorno de la organizaci\u00f3n proveedora a los entornos de sus clientes, lo que constituye un riesgo importante en la cadena de suministro”.<\/p>\n Tras la divulgaci\u00f3n responsable, Google ha emitido<\/a> una soluci\u00f3n parcial que no elimina el vector de escalada de privilegios, describi\u00e9ndolo como un problema de baja gravedad. No se requiere ninguna otra acci\u00f3n del cliente.<\/p>\n La falla de dise\u00f1o se deriva del hecho de que Cloud Build crea autom\u00e1ticamente una cuenta de servicio predeterminada para ejecutar compilaciones para un proyecto en nombre de los usuarios. Espec\u00edficamente, la cuenta de servicio viene con permisos excesivos (“logging.privateLogEntries.list”), lo que permite acceder a los registros de auditor\u00eda que contienen la lista completa de todos los permisos del proyecto. <\/p>\n “Lo que hace que esta informaci\u00f3n sea tan lucrativa es que facilita en gran medida el movimiento lateral y la escalada de privilegios en el entorno”, dijo el investigador de orcas Roi Nisimi. “Saber qu\u00e9 cuenta de GCP puede realizar qu\u00e9 acci\u00f3n equivale a resolver una gran pieza del rompecabezas sobre c\u00f3mo lanzar un ataque”.<\/p>\n Al hacerlo, un actor malintencionado podr\u00eda abusar del permiso “cloudbuild.builds.create” ya obtenido por otros medios para suplantar la cuenta del servicio Google Cloud Build y obtener privilegios elevados, exfiltrar una imagen que se est\u00e1 utilizando dentro de Google Kubernetes Engine (GKE) y modif\u00edquelo para incorporar malware.<\/p>\n “Una vez que se implementa la imagen maliciosa, el atacante puede explotarla y ejecutar el c\u00f3digo en el contenedor docker como root”, explic\u00f3 Nisimi.<\/p>\n Prot\u00e9jase contra las amenazas internas: Domine la gesti\u00f3n de la postura de seguridad de SaaS<\/p>\n <\/a><\/p>\n \u00bfPreocupado por las amenazas internas? \u00a1Te tenemos cubierto! \u00danase a este seminario web para explorar estrategias pr\u00e1cticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.<\/p>\n \u00danete hoy<\/a><\/section>\n El parche implementado por Google revoca el permiso logging.privateLogEntries.list de la cuenta de servicio de Cloud Build, lo que impide el acceso para enumerar registros privados de forma predeterminada.<\/p>\n Esta no es la primera vez que se informan fallas en la escalada de privilegios que afectan a Google Cloud Platform. En 2020, Gitlab, Rhino Security Labs y Praetorian detallado<\/a> varios<\/a> tecnicas<\/a> eso podria ser explotado<\/a> comprometer los entornos de nube.<\/p>\n Se recomienda a los clientes que supervisen el comportamiento de la cuenta de servicio predeterminada de Google Cloud Build para detectar cualquier posible comportamiento malicioso, as\u00ed como aplicar el principio de privilegio m\u00ednimo (PoLP) para mitigar los posibles riesgos.<\/p>\n <\/p>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/07\/1689760664_410_La-falla-BadBuild-en-Google-Cloud-Build-plantea-preocupaciones-sobre.jpg\")
<\/div>\n