OrcaSecurity的网络安全研究人员在GoogleCloudBuild服务中发现了一个新漏洞,该漏洞可能允许威胁行为者获得对GoogleArtifactRegistry代码存储库的几乎完全访问权限。研究人员在报告中表示,该缺陷的影响非常可怕。
研究人员将该漏洞命名为Bad.Build,表示它允许威胁行为者冒充GoogleCloudBuild托管的持续集成和交付服务(CI/CD)的服务帐户。这反过来又让他们可以针对工件注册表运行API调用,从而有效地夺取对应用程序映像的控制权。
获得完全控制权后,攻击者可以继续添加恶意代码,理论上会破坏不同的供应链并到达无数端点。
另一方面,Orca滥用cloudbuilds.builds.create权限来获得提升的权限,允许威胁行为者调整GoogleKubernetesEngine(GKE)docker镜像,本质上是以root身份在docker容器内运行代码。
分析:为什么它很重要?
通过滥用Bad.Build,威胁行为者可以发起所谓的“供应链”攻击。利用该缺陷,黑客和其他网络犯罪分子可以将恶意软件注入应用程序映像中,这些映像随后将被不同组织在众多网络和端点上使用。该恶意软件可用于各种恶意活动,从窃取敏感数据到部署勒索软件,从安装加密挖矿程序到运行拒绝服务(DoS)攻击。
此外,如果恶意应用程序最终部署在本地或半SaaS环境中,受害组织的客户也可能面临风险,这与SolarWinds的情况不同。为了确保您的组织最终不会受到威胁,请考虑遵循Orca的建议,其中包括密切关注默认GoogleCloudBuild服务帐户的行为。
该公司表示:“应用最小特权原则并实施云检测和响应功能来识别异常是降低风险的一些建议。”这包括遵守最低权限、优先考虑危及关键业务资产的风险,以及使用云检测和响应来检测危险异常。
其他人对这个缺陷有何评论?
发现该缺陷后不久,谷歌就联系了媒体,感谢Orca在发现该缺陷方面所做的努力:“我们专门创建了漏洞奖励计划,以识别和修复此类漏洞。我们感谢Orca和更广泛的安全社区参与这些计划,”谷歌发言人表示。“我们感谢研究人员的工作,并根据他们在6月初发布的安全公告中概述的报告进行了修复。”
已经发布的修复程序绝对是个好消息,因为Bad.Build的破坏潜力相当广泛。Orca安全研究员RoiNisimi在评论调查结果时将影响描述为“多种多样”:“潜在影响可能是多种多样的,并且适用于所有使用ArtifactRegistry作为主要或辅助映像存储库的组织,”Nisimi说。“第一个也是直接的影响是破坏依赖这些图像的应用程序。这可能会导致DOS、数据盗窃以及向用户传播恶意软件。”正如我们在SolarWinds以及最近的3CX和MOVEit供应链攻击中看到的那样,这可能会导致DOS、数据盗窃和恶意软件向用户传播。产生深远的影响。”
BleepingComputer在其文章中表示,谷歌安全团队最初实施的修复是部分的,撤销了默认云构建服务帐户的logging.privateLogEntries.list权限,与ArtifactRegistry无关。
该出版物表示:“值得注意的是,这一措施并没有直接解决工件注册表中的潜在漏洞,从而使特权升级向量和供应链攻击的风险完好无损。”
“然而,谷歌的修复并没有撤销已发现的特权升级(PE)向量。它只是限制了它-将其变成一个设计缺陷,仍然使组织容易受到更大的供应链风险的影响,”尼西米补充道。“因此,组织密切关注默认GoogleCloudBuild服务帐户的行为非常重要。应用最小权限原则并实施云检测和响应功能来识别异常是降低风险的一些建议。”
Nisimi在接受TechTarget编辑采访时表示,即使进行了部分缓解,该缺陷仍然可以完全利用。“你可以将其视为可能永远不会被撤销的东西,因为它在[GCP]的设计之内,”他说。“他们决定不撤销它,因此平台内的风险将永远存在,为攻击者提升权限创造了机会和特权。”
谷歌告诉其客户修改默认的CloudBild服务帐户权限,并删除不符合最小权限原则(PoLP)的权利凭据。
更深入
如果您想了解更多信息,请首先了解什么是GoogleCloudStorage,以及我们有关最佳云计算服务的深入指南。此外,请阅读我们的最佳端点保护服务指南,以及我们当今最佳恶意软件清除软件的列表。
