Les chercheurs en cybersécurité ont découvert une vulnérabilité d’escalade de privilèges dans Google Cloud qui pourrait permettre à des acteurs malveillants de falsifier les images d’application et d’infecter les utilisateurs, entraînant des attaques de la chaîne d’approvisionnement.
Le problème, surnommé Bad.Buildest enracinée dans Service Google Cloud Buildselon la société de sécurité cloud Orca, qui a découvert et signalé le problème.
« En abusant de la faille et en permettant une usurpation d’identité du service Cloud Build par défaut, les attaquants peuvent manipuler des images dans Google Artifact Registry et injecter du code malveillant », a déclaré la société. a dit dans une déclaration partagée avec The Hacker News.
« Toutes les applications construites à partir des images manipulées sont alors affectées et, si les applications malformées sont destinées à être déployées sur les environnements des clients, le risque passe de l’environnement de l’organisation fournisseur aux environnements de leurs clients, constituant un risque majeur pour la chaîne d’approvisionnement. »
À la suite d’une divulgation responsable, Google a publié un correctif partiel qui n’élimine pas le vecteur d’escalade de privilèges, le décrivant comme un problème de faible gravité. Aucune autre action du client n’est requise.
Le défaut de conception provient du fait que Cloud Build crée automatiquement un compte de service par défaut pour exécuter les compilations d’un projet au nom des utilisateurs. Plus précisément, le compte de service est fourni avec des autorisations excessives (« logging.privateLogEntries.list »), ce qui permet d’accéder aux journaux d’audit contenant la liste complète de toutes les autorisations sur le projet.
« Ce qui rend ces informations si lucratives, c’est qu’elles facilitent grandement les déplacements latéraux et l’escalade des privilèges dans l’environnement », a déclaré Roi Nisimi, chercheur chez Orca. « Savoir quel compte GCP peut effectuer quelle action équivaut à résoudre une grande pièce du puzzle sur la façon de lancer une attaque. »
Ce faisant, un acteur malveillant pourrait abuser de l’autorisation « cloudbuild.builds.create » déjà obtenue par d’autres moyens pour usurper l’identité du compte de service Google Cloud Build et obtenir des privilèges élevés, exfiltrer une image qui est utilisée dans Google Kubernetes Engine (GKE) , et modifiez-le pour incorporer des logiciels malveillants.
« Une fois l’image malveillante déployée, l’attaquant peut l’exploiter et exécuter du code sur le conteneur Docker en tant que root », a expliqué Nisimi.
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
Le correctif mis en place par Google révoque l’autorisation logging.privateLogEntries.list du compte de service Cloud Build, empêchant ainsi l’accès pour énumérer les journaux privés par défaut.
Ce n’est pas la première fois que des failles d’élévation de privilèges affectant Google Cloud Platform sont signalées. En 2020, Gitlab, Rhino Security Labs et Praetorian détaillé divers techniques cela pourrait être exploité pour compromettre les environnements cloud.
Il est conseillé aux clients de surveiller le comportement du compte de service Google Cloud Build par défaut afin de détecter tout comportement malveillant éventuel et d’appliquer le principe du moindre privilège (PoLP) pour atténuer les risques éventuels.