02 avril 2025Ravie LakshmananSécurité / vulnérabilité du cloud

Les chercheurs en cybersécurité ont divulgué les détails d’une vulnérabilité d’escalade de privilèges désormais réglée dans la gamme de cloud (GCP) de la plate-forme de Google Cloud (GCP) qui aurait pu permettre à un acteur malveillant d’accéder aux images de conteneurs et même d’injecter du code malveillant.

“La vulnérabilité aurait pu permettre à une telle identité d’abuser de ses autorisations Google Cloud Run Revision Edit afin de retirer les images du registre privé de Google Artefact et de Google Container Registry dans le même compte”, chercheur à la sécurité tenable Liv Matan dit Dans un rapport partagé avec le Hacker News.

La lacune de sécurité a été nommée ImageRunner par la Cybersecurity Company. Après la divulgation responsable, Google a abordé le problème au 28 janvier 2025.

Google Cloud Run est un service entièrement géré pour exécuter des applications conteneurisées dans un environnement évolutif et sans serveur. Lorsque la technologie est utilisée pour exécuter un service, les images de conteneurs sont récupérées à partir du Registre des artefacts (ou Docker Hub) pour le déploiement ultérieur en spécifiant l’URL de l’image.

Cybersécurité

La question est le fait qu’il existe certaines identités qui manquent d’autorisations de registre des conteneurs mais qui ont des autorisations de modification sur les révisions de Google Cloud Run.

Chaque fois qu’un service d’exécution cloud est déployé ou mis à jour, une nouvelle version est créée. Et chaque fois qu’une révision de run cloud est déployée, un compte d’agent de service est utilisé pour tirer les images nécessaires.

“Si un attaquant obtient certaines autorisations dans le projet d’une victime – spécifiquement exécuté.Services.update et iam.ServiceAccounts.actas Autorisations – il pourrait modifier un service d’exécution de cloud et déployer une nouvelle révision”, a expliqué Matan. “Ce faisant, ils pourraient spécifier n’importe quelle image de conteneur privé dans le même projet pour que le service tire.”

De plus, l’attaquant pourrait accéder à des images sensibles ou propriétaires stockées dans les registres d’une victime et même introduire des instructions malveillantes qui, une fois exécutées, pourraient être abusées pour extraire des secrets, exfiltrer des données sensibles ou même ouvrir un shell inversé à une machine sous leur contrôle.

Le correctif publié par Google garantit désormais que le compte utilisateur ou le compte de la création ou de la mise à jour d’une ressource Cloud Run a une autorisation explicite pour accéder aux images du conteneur.

“Le principal (compte utilisateur ou service) créant ou mettant à jour une ressource Cloud Exécution a désormais besoin d’une autorisation explicite pour accéder à l’image (s) de conteneurs”, le géant de la technologie dit Dans ses notes de publication pour Cloud Run en janvier 2025.

“Lorsque vous utilisez le registre des artefacts, assurez-vous que le principal a le lecteur de registre des artefacts (rôles / artifactregistry.

Tenable a caractérisé ImageRunner comme un exemple de ce qu’il appelle Jenga, qui survient en raison de la nature interconnectée de divers services cloud, entraînant la transmission des risques de sécurité.

“Les fournisseurs de cloud créent leurs services au-dessus de leurs autres services existants”, a déclaré Matan. “Si un service est attaqué ou est compromis, les autres construits sur celui-ci héritent du risque et deviennent également vulnérables.”

“Ce scénario ouvre la porte aux attaquants pour découvrir de nouveaux opportunités d’escalade et même des vulnérabilités, et présente de nouveaux risques cachés pour les défenseurs.”

Cybersécurité

La divulgation survient des semaines après que le praétorien détaillé de plusieurs façons dont un principe à privilège inférieur peut abuser d’une machine virtuelle Azure (VM) pour prendre le contrôle d’un abonnement Azure –

  • Exécuter des commandes sur une machine virtuelle Azure associée à une identité gérée administrative
  • Connectez-vous à une machine virtuelle Azure associée à une identité gérée administrative
  • Joignez une identité gérée administrative existante à l’utilisateur à une machine virtuelle Azure existante et exécutez des commandes dans cette machine virtuelle
  • Créez une nouvelle machine virtuelle Azure, joignez une identité gérée administrative existante et exécutez des commandes dans cette machine virtuelle en utilisant des actions de plan de données

“Après avoir obtenu le rôle du propriétaire pour un abonnement, un attaquant peut être en mesure de tirer parti de son large contrôle sur toutes les ressources d’abonnement pour trouver un chemin d’escalade des privilèges vers le locataire de l’identification de l’ENTRA”, les chercheurs en sécurité Andrew Chang et Elgin Lee dit.

“Ce chemin est fondé sur une ressource de calcul dans l’abonnement de la victime avec un directeur de service avec des autorisations d’identification ENTRA qui peuvent lui permettre de se transformer à l’administrateur mondial.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57