{"id":838367,"date":"2023-07-19T19:43:49","date_gmt":"2023-07-19T21:43:49","guid":{"rendered":"https:\/\/teknomers.com\/fr\/la-faille-bad-build-dans-google-cloud-build-souleve-des-inquietudes-quant-a-lescalade-des-privileges\/"},"modified":"2023-07-19T19:43:53","modified_gmt":"2023-07-19T21:43:53","slug":"la-faille-bad-build-dans-google-cloud-build-souleve-des-inquietudes-quant-a-lescalade-des-privileges","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/la-faille-bad-build-dans-google-cloud-build-souleve-des-inquietudes-quant-a-lescalade-des-privileges\/","title":{"rendered":"La faille Bad.Build dans Google Cloud Build soul\u00e8ve des inqui\u00e9tudes quant \u00e0 l&#8217;escalade des privil\u00e8ges"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">19 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 Cloud \/ Vuln\u00e9rabilit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une vuln\u00e9rabilit\u00e9 d&#8217;escalade de privil\u00e8ges dans Google Cloud qui pourrait permettre \u00e0 des acteurs malveillants de falsifier les images d&#8217;application et d&#8217;infecter les utilisateurs, entra\u00eenant des attaques de la cha\u00eene d&#8217;approvisionnement.<\/p>\n<p>Le probl\u00e8me, surnomm\u00e9 <strong>Bad.Build<\/strong>est enracin\u00e9e dans <a rel=\"nofollow noopener\" href=\"https:\/\/cloud.google.com\/build\" target=\"_blank\">Service Google\u00a0Cloud\u00a0Build<\/a>selon la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 cloud Orca, qui a d\u00e9couvert et signal\u00e9 le probl\u00e8me.<\/p>\n<p>&#8220;En abusant de la faille et en permettant une usurpation d&#8217;identit\u00e9 du service Cloud Build par d\u00e9faut, les attaquants peuvent manipuler des images dans Google Artifact Registry et injecter du code malveillant&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/orca.security\/resources\/blog\/bad-build-google-cloud-build-potential-supply-chain-attack-vulnerability\/\" target=\"_blank\">a dit<\/a> dans une d\u00e9claration partag\u00e9e avec The Hacker News.<\/p>\n<p>&#8220;Toutes les applications construites \u00e0 partir des images manipul\u00e9es sont alors affect\u00e9es et, si les applications malform\u00e9es sont destin\u00e9es \u00e0 \u00eatre d\u00e9ploy\u00e9es sur les environnements des clients, le risque passe de l&#8217;environnement de l&#8217;organisation fournisseur aux environnements de leurs clients, constituant un risque majeur pour la cha\u00eene d&#8217;approvisionnement.&#8221;<\/p>\n<p>\u00c0 la suite d&#8217;une divulgation responsable, Google a <a rel=\"nofollow noopener\" href=\"https:\/\/cloud.google.com\/build\/docs\/security-bulletins#gcp-2023-013\" target=\"_blank\">publi\u00e9<\/a> un correctif partiel qui n&#8217;\u00e9limine pas le vecteur d&#8217;escalade de privil\u00e8ges, le d\u00e9crivant comme un probl\u00e8me de faible gravit\u00e9.  Aucune autre action du client n&#8217;est requise.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>Le d\u00e9faut de conception provient du fait que Cloud\u00a0Build cr\u00e9e automatiquement un compte de service par d\u00e9faut pour ex\u00e9cuter les compilations d&#8217;un projet au nom des utilisateurs.  Plus pr\u00e9cis\u00e9ment, le compte de service est fourni avec des autorisations excessives (&#8220;logging.privateLogEntries.list&#8221;), ce qui permet d&#8217;acc\u00e9der aux journaux d&#8217;audit contenant la liste compl\u00e8te de toutes les autorisations sur le projet. <\/p>\n<p>&#8220;Ce qui rend ces informations si lucratives, c&#8217;est qu&#8217;elles facilitent grandement les d\u00e9placements lat\u00e9raux et l&#8217;escalade des privil\u00e8ges dans l&#8217;environnement&#8221;, a d\u00e9clar\u00e9 Roi Nisimi, chercheur chez Orca.  &#8220;Savoir quel compte GCP peut effectuer quelle action \u00e9quivaut \u00e0 r\u00e9soudre une grande pi\u00e8ce du puzzle sur la fa\u00e7on de lancer une attaque.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/07\/1689803029_1_La-faille-BadBuild-dans-Google-Cloud-Build-souleve-des-inquietudes.jpg\" alt=\"\" border=\"0\" data-original-height=\"426\" data-original-width=\"728\"\/><\/div>\n<p>Ce faisant, un acteur malveillant pourrait abuser de l&#8217;autorisation &#8220;cloudbuild.builds.create&#8221; d\u00e9j\u00e0 obtenue par d&#8217;autres moyens pour usurper l&#8217;identit\u00e9 du compte de service Google Cloud Build et obtenir des privil\u00e8ges \u00e9lev\u00e9s, exfiltrer une image qui est utilis\u00e9e dans Google Kubernetes Engine (GKE) , et modifiez-le pour incorporer des logiciels malveillants.<\/p>\n<p>&#8220;Une fois l&#8217;image malveillante d\u00e9ploy\u00e9e, l&#8217;attaquant peut l&#8217;exploiter et ex\u00e9cuter du code sur le conteneur Docker en tant que root&#8221;, a expliqu\u00e9 Nisimi.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Bouclier contre les menaces internes\u00a0: ma\u00eetriser la gestion de la posture de s\u00e9curit\u00e9 SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Inquiet des menaces internes ?  Nous avons ce qu&#8217;il vous faut!  Rejoignez ce webinaire pour explorer les strat\u00e9gies pratiques et les secrets de la s\u00e9curit\u00e9 proactive avec la gestion de la posture de s\u00e9curit\u00e9 SaaS.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">Joignez aujourd&#8217;hui<\/a><\/section>\n<p>Le correctif mis en place par Google r\u00e9voque l&#8217;autorisation logging.privateLogEntries.list du compte de service Cloud Build, emp\u00eachant ainsi l&#8217;acc\u00e8s pour \u00e9num\u00e9rer les journaux priv\u00e9s par d\u00e9faut.<\/p>\n<p>Ce n&#8217;est pas la premi\u00e8re fois que des failles d&#8217;\u00e9l\u00e9vation de privil\u00e8ges affectant Google Cloud\u00a0Platform sont signal\u00e9es.  En 2020, Gitlab, Rhino Security Labs et Praetorian <a rel=\"nofollow noopener\" href=\"https:\/\/about.gitlab.com\/blog\/2020\/02\/12\/plundering-gcp-escalating-privileges-in-google-cloud-platform\/\" target=\"_blank\">d\u00e9taill\u00e9<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/rhinosecuritylabs.com\/gcp\/privilege-escalation-google-cloud-platform-part-1\/\" target=\"_blank\">divers<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/rhinosecuritylabs.com\/gcp\/iam-privilege-escalation-gcp-cloudbuild\/\" target=\"_blank\">techniques<\/a> cela pourrait \u00eatre <a rel=\"nofollow noopener\" href=\"https:\/\/www.praetorian.com\/blog\/google-cloud-platform-gcp-service-account-based-privilege-escalation-paths\/\" target=\"_blank\">exploit\u00e9<\/a> pour compromettre les environnements cloud.<\/p>\n<p>Il est conseill\u00e9 aux clients de surveiller le comportement du compte de service Google Cloud Build par d\u00e9faut afin de d\u00e9tecter tout comportement malveillant \u00e9ventuel et d&#8217;appliquer le principe du moindre privil\u00e8ge (PoLP) pour att\u00e9nuer les risques \u00e9ventuels.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/badbuild-flaw-in-google-cloud-build.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80219 juil. 2023\ue804THNS\u00e9curit\u00e9 Cloud \/ Vuln\u00e9rabilit\u00e9 Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une vuln\u00e9rabilit\u00e9 d&#8217;escalade de privil\u00e8ges dans Google Cloud qui pourrait permettre \u00e0 des acteurs malveillants de falsifier les images d&#8217;application et d&#8217;infecter les utilisateurs, entra\u00eenant des attaques de la cha\u00eene d&#8217;approvisionnement. Le probl\u00e8me, surnomm\u00e9 Bad.Buildest enracin\u00e9e dans Service Google\u00a0Cloud\u00a0Buildselon la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":838368,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[174766,54134,22780,4168,4158,4165,4161,429,133,9048,7755,4816,4157,4159,4171,4170,55300,4167,4160,4163,4162,53446,14289,4172,4169,14946,4166,4164],"class_list":["post-838367","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-bad-build","tag-build","tag-cloud","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-des","tag-faille","tag-google","tag-inquietudes","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lescalade","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-privileges","tag-quant","tag-securite-informatique","tag-securite-internet","tag-souleve","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/838367","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=838367"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/838367\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/838368"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=838367"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=838367"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=838367"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}