Bulut güvenlik firması ORCA Security tarafından keşfedilen Google Cloud Build Hizmetinde kritik bir tasarım kusuru, saldırganların ayrıcalıkları artırmasına izin vererek Google Artefakt Kayıt Defteri Kodu depolarına neredeyse neredeyse ve yetkisiz erişim sağlayabilir.
Dubbed Bad.Build, bu kusur, tehdit aktörlerinin, artefakt kayıt defterine karşı API çağrıları çalıştırması ve uygulama görüntüleri üzerinde kontrolü ele geçirmesi için Google Cloud Build Yönetilen Sürekli Entegrasyon ve Teslimat (CI/CD) hizmetinin hizmet hesabını taklit etmelerini sağlayabilir.
Bu, kötü amaçlı kodlar enjekte etmelerini sağlar, bu da müşterilerin ortamlarındaki kötü amaçlı uygulamaları kullandıktan sonra savunmasız uygulamalar ve potansiyel tedarik zinciri saldırılarına neden olur.
Orca Güvenlik Araştırmacısı ROI Nisimi, "Potansiyel etki çeşitli olabilir ve eser kayıt defterini ana veya ikincil görüntü deposu olarak kullanan tüm kuruluşlar için geçerlidir." Dedi.
"İlk ve acil etki, bu görüntülere dayanan uygulamaları bozmaktır. Bu, DOS'a, veri hırsızlığına ve kötü amaçlı yazılımları kullanıcılara yaymaya yol açabilir.
"Solarwinds ve son 3CX ve Moveit tedarik zinciri saldırılarıyla gördüğümüz gibi, bu çok geniş sonuçlara sahip olabilir."
Aynı güvenlik açığı burada Rhino Security Lab tarafından gözlemlendi ve bildirildi. Yine de, GCP API'sının kullanımını ve bunlardan kaynaklanan bulut yapı hizmeti hesabı erişim belirteçlerini içeren bu ayrıcalık artma kusurundan yararlanma yöntemleri daha karmaşıktı.
ORCA Security'nin saldırısı, CloudBuild.build'den yararlanır. Ayrıcalıkları artırmak ve saldırganların Artifactregistry izinlerini kullanarak Google Kubernetes Motor (GKE) Docker görüntülerine kurcalanmasına izin vermek ve Docker kapsayıcısının içindeki kodu kök olarak çalıştırmalarına izin vermek için izin.
ORCA Security sorunu bildirdikten sonra, Google Security ekibi Logging.PrivatElogentries.Resped Reg Defter ile ilgisi olmayan varsayılan bulut oluşturma hizmeti hesabından izin listeleyen kısmi bir düzeltme uyguladı.
Bu önlemin, Artefakt Kayıt Defterindeki altta yatan güvenlik açığını doğrudan ele almadığını ve ayrıcalık yükseltme vektörünü ve bir tedarik zinciri saldırısı riskini bozulmadan bıraktığını belirtmek önemlidir.
Nisimi, "Ancak Google'ın düzeltmesi, keşfedilen ayrıcalık artış (PE) vektörünü iptal etmiyor. Sadece onu sınırlar - organizasyonları hala daha büyük tedarik zinciri riskine karşı savunmasız bırakan bir tasarım kusuruna dönüştürüyor." Dedi.
Diyerek şöyle devam etti: "Bu nedenle kuruluşların varsayılan Google Cloud Build Hizmet Hesabının davranışına dikkat etmeleri önemlidir. En az ayrıcalık ilkesini uygulamak ve anomalileri tanımlamak için bulut algılama ve yanıt yeteneklerinin uygulanması, riski azaltma önerilerinden bazılarıdır."
Google Cloud Build müşterilerinin, ayrıcalık artış risklerini azaltmak için en az ayrıcalık (POLP) prensibine aykırı olan gereksinimlerine uyacak şekilde varsayılan bulut oluşturma hizmeti hesabı izinlerini değiştirmeleri önerilir.
Nisan ayında Google, saldırganların kötü niyetli OAuth uygulamalarını kullanarak herhangi bir Google hesabını geri çekmesine izin veren GhostToken olarak adlandırılan bir Google Cloud Platform (GCP) güvenlik açığı da ele aldı.
Güncelleme 18 Temmuz 14:22 EDT: Bir Google sözcüsü, makale yayınlandıktan sonra aşağıdaki ifadeyi paylaştı.
Bu gibi güvenlik açıklarını tanımlamak ve çözmek için güvenlik açığı ödülleri programımızı oluşturduk. ORCA'yı ve daha geniş güvenlik topluluğunun bu programlara katılımını takdir ediyoruz. Araştırmacıların çalışmalarını takdir ediyoruz ve Haziran başında yayınlanan bir güvenlik bülteninde belirtilen raporlarına dayanarak bir düzeltme ekledik. - Google Sözcüsü
Cisco AnyConnect Hata için Sistem Sistem İmtiyazları Vermek
Microsoft, Azure Reklam Auth Kusurunu Düzeltiyor Hesap devralmasını sağlayan
Cisco, Windows Sistemi ayrıcalıkları veren anyconnect hatasını düzeltir
Yeni Stackrot Linux çekirdek kusuru ayrıcalık artışına izin verir
Araştırmacılar, milyonlarca Github deposunun yeniden örgüye karşı savunmasız olduğunu söylüyor
Kaynak: Bleeping Computer