Lỗ hổng Bad.Build trong Google Cloud Build làm dấy lên mối lo ngại về nguy cơ leo thang đặc quyền

www.tuoitre.vn -   19/07/2023 08:00:00 188

Các nhà nghiên cứu an ninh mạng đã phát hiện ra lỗ hổng leo thang đặc quyền trong Google Cloud có thể cho phép các tác nhân độc hại giả mạo hình ảnh ứng dụng và lây nhiễm cho người dùng, dẫn đến các cuộc tấn công chuỗi cung ứng.

Lỗ hổng Bad.Build trong Google Cloud Build làm dấy lên mối lo ngại về nguy cơ leo thang đặc quyền

Theo công ty bảo mật đám mây Orca, công ty đã phát hiện và báo cáo sự cố, sự cố có tên Bad.Build bắt nguồn từ dịch vụ Google Cloud Build.

"Bằng cách lạm dụng lỗ hổng và cho phép mạo danh dịch vụ Cloud Build mặc định, kẻ tấn công có thể thao túng hình ảnh trong Google Artifact Registry và tiêm mã độc", công ty cho biết trong một tuyên bố được chia sẻ với The Hacker News.

"Bất kỳ ứng dụng nào được xây dựng từ các hình ảnh bị thao túng sau đó đều bị ảnh hưởng và nếu các ứng dụng không đúng định dạng được triển khai trên môi trường của khách hàng, rủi ro sẽ chuyển từ môi trường của tổ chức cung cấp sang môi trường của khách hàng của họ, tạo thành rủi ro chuỗi cung ứng lớn."

Sau khi tiết lộ có trách nhiệm, Google đã đưa ra một bản sửa lỗi một phần không loại bỏ vectơ leo thang đặc quyền, mô tả đây là sự cố có mức độ nghiêm trọng thấp. Khách hàng không cần thực hiện thêm hành động nào.

"Chúng tôi đã tạo Chương trình phần thưởng cho lỗ hổng bảo mật của mình đặc biệt để xác định và khắc phục các lỗ hổng như thế này. Chúng tôi đánh giá cao sự tham gia của Orca và cộng đồng bảo mật rộng lớn hơn trong các chương trình này. Chúng tôi đánh giá cao công việc của các nhà nghiên cứu và đã kết hợp một bản sửa lỗi dựa trên báo cáo của họ như đã nêu trong một bản tin an ninh phát hành vào đầu tháng Sáu." người phát ngôn của Google nói với The Hacker News.

Lỗ hổng thiết kế bắt nguồn từ việc Cloud Build tự động tạo tài khoản dịch vụ mặc định để thay mặt người dùng thực hiện các bản dựng cho một dự án. Cụ thể, tài khoản dịch vụ đi kèm với các quyền quá mức ("logging.privateLogEntries.list"), cho phép truy cập vào nhật ký kiểm tra chứa danh sách đầy đủ tất cả các quyền đối với dự án.

Nhà nghiên cứu Roi Nisimi của Orca cho biết: “Điều làm cho thông tin này trở nên sinh lợi là nó tạo điều kiện thuận lợi cho chuyển động ngang và leo thang đặc quyền trong môi trường”. "Biết tài khoản GCP nào có thể thực hiện hành động nào, tương đương với việc giải một mảnh ghép tuyệt vời về cách khởi động một cuộc tấn công."

Khi làm như vậy, kẻ xấu có thể lạm dụng quyền "cloudbuild.builds.create" đã có được bằng các cách khác để mạo danh tài khoản dịch vụ Google Cloud Build và có được các đặc quyền nâng cao, trích xuất một hình ảnh đang được sử dụng bên trong Google Kubernetes Engine (GKE) và thay đổi nó để tích hợp phần mềm độc hại.

Nisimi giải thích: “Sau khi hình ảnh độc hại được triển khai, kẻ tấn công có thể khai thác nó và chạy mã trên bộ chứa docker với quyền root.

Bản vá do Google đưa ra sẽ thu hồi quyền logging.privateLogEntries.list từ tài khoản dịch vụ Cloud Build, do đó ngăn chặn quyền truy cập liệt kê nhật ký riêng tư theo mặc định.

Đây không phải là lần đầu tiên các lỗi leo thang đặc quyền ảnh hưởng đến Google Cloud Platform được báo cáo. Vào năm 2020, Gitlab, Rhino Security Labs và Praetorian đã nêu chi tiết các kỹ thuật khác nhau có thể bị khai thác để xâm phạm môi trường đám mây.

Khách hàng nên theo dõi hành vi của tài khoản dịch vụ Google Cloud Build mặc định để phát hiện mọi hành vi nguy hiểm có thể xảy ra cũng như áp dụng nguyên tắc đặc quyền tối thiểu (PoLP) để giảm thiểu rủi ro có thể xảy ra.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Những kẻ lừa đảo đang sử dụng khuôn mặt ...

29/02/2024 08:00:00 30
Gần đây, một loại phần mềm độc hại trên điện thoại thông minh mới có tên Gold Pickaxe được thiết kế ...

Lỗ hổng SQLi nghiêm trọng trong plugin W...

28/02/2024 08:00:00 19
Một lỗ hổng bảo mật nghiêm trọng đã được tiết lộ trong một plugin WordPress phổ biến có tên Ultimate...

Lỗ hổng bảo mật mức độ nghiêm trọng cao ...

23/02/2024 08:00:00 46
Thông tin chi tiết đã xuất hiện về một lỗ hổng bảo mật mức độ nghiêm trọng cao hiện đã được vá trong...

Apple công bố giao thức PQ3 - Mã hóa hậu...

22/02/2024 08:00:00 37
Apple đã công bố một giao thức mã hóa hậu lượng tử mới có tên PQ3 mà họ cho biết sẽ được tích hợp và...

Lỗ hổng Wi-Fi mới làm cho thiết bị Andro...

21/02/2024 08:00:00 49
Các nhà nghiên cứu an ninh mạng đã xác định được hai lỗ hổng cho phép bỏ qua xác thực trong phần mềm...

Lỗ hổng nghiêm trọng trên WordPress đang...

20/02/2024 08:00:00 32
Một lỗ hổng bảo mật nghiêm trọng trong chủ đề Bricks dành cho WordPress đang bị các tác nhân đe dọa ...
Xem thêm

LIÊN HỆ

Thông tin liên hệ