Invasor pode usar o Google Cloud Build para elevar privilégios

Views: 193
0 0
Read Time:2 Minute, 40 Second

Serviço pode ser explorado por invasores com acesso a uma conta comum para elevar seus privilégios e infectar imagens de contêiner usadas em ambientes de produção

Pesquisadores da empresa de segurança cibernética Orca Security alertam que uma permissão associada ao serviço Google Cloud Build no Google Cloud pode ser facilmente explorada por invasores com acesso a uma conta comum para elevar seus privilégios e potencialmente infectar imagens de contêiner usadas em ambientes de produção. 

O Google Cloud Build é uma plataforma de integração e entrega contínuas (CI/CD) que permite que organizações e desenvolvedores executem tarefas de criação de código no Google Cloud em várias linguagens de programação. O serviço oferece suporte à importação de código-fonte de repositórios e locais de armazenamento em nuvem, cria o código com base em uma especificação configurada e produz artefatos como imagens de contêiner que podem ser implantados diretamente em ambientes de produção.

O Cloud Build se integra a outros serviços do Google Cloud, como o Artifact Registry, Google Kubernetes Engine e App Engine. Como tal, possui recursos e acesso poderosos. Algumas funções de usuário predefinidas no Google Cloud já incluem algumas das permissões necessárias para invocar os recursos do serviço Cloud Build, mas algumas dessas permissões também podem ser atribuídas individualmente a usuários, grupos e contas de serviço.

Uma dessas permissões que os pesquisadores da Orca Security descobriram que pode ser explorada para escalonamento de privilégios é chamada cloudbuild.builds.create. Como o nome indica, ele pode ser usado para criar novas compilações usando o Cloud Build Service. Uma organização com usuários com essa permissão seria muito razoável em um ambiente que usa o Cloud Build como a principal plataforma de CI/CD, disseram os pesquisadores da Orca. Na verdade, várias funções padrão o possuem, incluindo funções de nível administrativo, mas também funções relacionadas ao desenvolvedor, como dataflow.developer.

Em um cenário de ataque à cadeia de suprimentos, um invasor com acesso a uma conta com menos privilégios tentaria encontrar um caminho que concedesse acesso ao código-fonte ou aos recursos, como artefatos binários, que uma organização usa para desenvolver e construir seus aplicativos antes que eles estão implantados. De acordo com a Orca Security, a permissão cloudbuild.builds.create faz exatamente isso.

“Ao explorar essa falha, que permite a representação da conta de serviço Cloud Build padrão, um invasor pode manipular imagens no Artifact Registry do Google e injetar código malicioso”, disseram os pesquisadores da Orca. “Todos os aplicativos criados a partir das imagens manipuladas são afetados, com possíveis resultados, incluindo ataques de negação de serviço [DoS], roubo de dados e disseminação de malware. Pior ainda, se os aplicativos malformados forem implantados nos ambientes do cliente [seja on premises ou semi-SaaS], o risco passa do ambiente da organização fornecedora para os ambientes de seus clientes, constituindo um ataque à cadeia de suprimentos, semelhante ao que aconteceu nos incidentes SolarWinds e MOVEit”, completaram eles.

Para limitar o risco, a Orca recomenda que os usuários do Google Cloud Platform restrinjam as permissões padrão concedidas à conta do Cloud Build Service apenas às ações específicas de que precisam e usem em seus fluxos de trabalho com base no princípio do menor privilégio.

FONTE: CISO ADVISOR

POSTS RELACIONADOS