I ricercatori di Cybersecurity hanno divulgato i dettagli di una vulnerabilità di escalabilità dei privilegi ormai abbagliata nella corsa al cloud di Google Cloud Platform (GCP) che avrebbe potuto consentire a un attore dannoso di accedere alle immagini dei contenitori e persino di iniettare un codice dannoso.
“La vulnerabilità avrebbe potuto consentire a una story identità di abusare delle sue autorizzazioni di modifica di revisione di Google Cloud per attirare le immagini personal del registro degli artifatti di Google e Google Container Registry nello stesso account” disse In un rapporto condiviso con le notizie di Hacker.
Il difetto della sicurezza è stato in codice Imagerunner dalla società di sicurezza informatica. Dopo la divulgazione responsabile, Google ha affrontato il problema al 28 gennaio 2025.
Google Cloud Run è un servizio completamente gestito per l’esecuzione di applicazioni containerizzate in un ambiente scalabile e senza server. Quando la tecnologia viene utilizzata per eseguire un servizio, le immagini del contenitore vengono recuperate da Registro artefatto (o Docker Hub) per la successiva distribuzione specificando l’URL dell’immagine.
In questione è il fatto che ci sono alcune identità prive di autorizzazioni di registro dei container ma che hanno le autorizzazioni di modifica su Google Cloud REVISIONS.
Ogni volta che viene distribuito o aggiornato un servizio Cloud Run, viene creata una nuova versione. E ogni volta che viene distribuita una revisione dell’esecuzione del cloud, a Account agente di servizio viene utilizzato per estrarre le immagini necessarie.
“Se un utente malintenzionato ottiene determinate autorizzazioni all’interno del progetto di una vittima – in particolare gestite.companies.replace e iam.serviceaccounts.actas permessi – potrebbero modificare un servizio di gestione del cloud e distribuire una nuova revisione”, ha spiegato Matan. “Nel fare ciò, potrebbero specificare qualsiasi immagine di contenitore privato all’interno dello stesso progetto per il servizio da tirare.”
Inoltre, l’attaccante potrebbe accedere a immagini sensibili o proprietarie memorizzate nei registri di una vittima e persino introdurre istruzioni dannose che, una volta eseguite, potrebbero essere abusate per estrarre segreti, esfiltrare dati sensibili o addirittura aprire una conchiglia inversa sotto il loro controllo.
La patch rilasciata da Google ora garantisce che l’utente o l’account del servizio creano o aggiorna una risorsa Cloud Riep abbia un permesso esplicito per accedere alle immagini del contenitore.
“Il principale (account utente o dell’account di servizio) creando o aggiornando una risorsa Cloud Esegui ora necessita dell’autorizzazione esplicita per accedere alle immagini del contenitore”, il gigante della tecnologia disse Nelle sue observe di rilascio per Cloud Run nel gennaio 2025.
“Quando si utilizza il registro artefatto, assicurarsi che il preside abbia il lettore del registro artefatto (Ruoli/Artifactregistry.Reader) iam Ruolo nel progetto o nel repository contenente le immagini del contenitore da distribuire.”
Tenable ha caratterizzato Imagerunner come un’istanza di ciò che chiama Jenga, che sorge a causa della natura interconnessa di vari servizi cloud, causando il trasferimento dei rischi per la sicurezza.
“I fornitori di cloud costruiscono i loro servizi oltre agli altri servizi esistenti”, ha affermato Matan. “Se un servizio viene attaccato o viene compromesso, gli altri costruiti sopra ereditano il rischio e diventano vulnerabili.”
“Questo situation apre le porte agli aggressori per scoprire nuove opportunità di escalation dei privilegi e persino vulnerabilità e introduce nuovi rischi nascosti per i difensori”.
La divulgazione arriva settimane dopo che il preoriano ha dettagliato diversi modi in cui un preside a basso privilegio può abusare di una macchina virtuale di Azure (VM) per ottenere il controllo su un abbonamento azure –
- Esegui comandi su una VM di Azure associata a un’identità amministrativa gestita
- Accedi a una VM di Azure associata a un’identità amministrativa gestita
- Allega un’identità gestita assegnata dall’utente amministrativa esistente a una VM di Azure esistente ed esegui i comandi in quella VM
- Crea una nuova VM di Azure, allega un’identità amministrativa esistente advert essa ed esegui i comandi in quella VM utilizzando le azioni del piano dati
“Dopo aver ottenuto il ruolo del proprietario per un abbonamento, un utente malintenzionato può essere in grado di sfruttare il loro ampio controllo su tutte le risorse di abbonamento per trovare un percorso di escalation dei privilegi verso l’inquilino dell’ID ID”, i ricercatori della sicurezza Andrew Chang ed Elgin Lee disse.
“Questo percorso si basa su una risorsa di calcolo nell’abbonamento alla vittima con un capitale del servizio con le autorizzazioni ID ENTRA che possono consentirgli di intensificarsi all’amministratore globale.”
