Google Fixed Cloud Run -kwetsbaarheid waardoor ongeautoriseerde beeldtoegang mogelijk is via IAM misbruik

Cyberbeveiliging
Google Fixed Cloud Run -kwetsbaarheid waardoor ongeautoriseerde beeldtoegang mogelijk is via IAM misbruik

Onderzoekers van cybersecurity hebben details bekendgemaakt van een nu afgestemde beveiligingslek voor privilege-escalatie in de cloudrun van Google Cloud Platform (GCP) die een kwaadwillende acteur toegang had kunnen hebben tot containerafbeeldingen en zelfs kwaadaardige code te injecteren.

“De kwetsbaarheid zou een dergelijke identiteit kunnen hebben toegestaan ​​om zijn Google Cloud Run Revision Edit -machtigingen te misbruiken om particuliere Google Artifact Registry en Google Container Registry -afbeeldingen in hetzelfde account te trekken,” zei houten beveiligingsonderzoeker Liv Matan in een rapport dat wordt gedeeld met het Hacker News.

De tekortkoming van de beveiliging is door het Cybersecurity Company voor de codenaam van Imagerunner. Na verantwoorde openbaarmaking loste Google het probleem op vanaf 28 januari 2025.

Google Cloud Run is een volledig beheerde service voor het uitvoeren van containersapplicaties in een schaalbare, serverloze omgeving. Wanneer de technologie wordt gebruikt om een ​​service uit te voeren, worden containerafbeeldingen opgehaald uit het Artifact -register (of Docker Hub) voor daaropvolgende implementatie door de beeld -URL op te geven.

Het gaat om het feit dat er bepaalde identiteiten zijn die machtigingen van containerregistratie missen, maar die machtigingen hebben op de revisies van Google Cloud Run Run.

Telkens wanneer een Cloud Run -service wordt geïmplementeerd of bijgewerkt, wordt een nieuwe versie gemaakt. En elke keer dat een cloud -run revisie wordt geïmplementeerd, wordt een serviceagent -account gebruikt om de nodige afbeeldingen te maken.

“Als een aanvaller bepaalde machtigingen krijgt binnen het project van een slachtoffer – specifiek run.services.update en iam.serviceaccounts.actas machtigingen – kunnen ze een cloud run -service wijzigen en een nieuwe revisie implementeren,” legde Matan uit, “legde Matan uit. “Daarbij kunnen ze elk privé -containerafbeelding opgeven binnen hetzelfde project voor de service om te trekken.”

Bovendien heeft de aanvaller toegang tot gevoelige of gepatenteerde afbeeldingen die zijn opgeslagen in de registers van een slachtoffer en zelfs kwaadaardige instructies introduceren die, wanneer ze worden uitgevoerd, kunnen worden misbruikt om geheimen, gevoelige gegevens van exfiltr te extraheren, of zelfs een omgekeerde shell openen voor een machine onder hun controle.

De patch die door Google wordt uitgebracht, zorgt ervoor dat de gebruiker of servicecounts die een cloud -run -resource maken of bijwerken, expliciete toestemming heeft om toegang te krijgen tot de containerafbeeldingen.

“De hoofdsom (gebruiker of serviceaccount) Een cloud run -resource maken of bijwerken heeft nu expliciete toestemming nodig om toegang te krijgen tot de containerafbeelding (s)”, zei de tech -gigant in de release -notities voor Cloud Run in januari 2025.

“Bij het gebruik van artefactregister zorgt u ervoor dat de directeur de Artifact Registry Reader (Roles/Artifactregistry.Reader) IAM -rol heeft op het project of de repository die de containerafbeelding bevat om te implementeren.”

Tenable heeft Imagerunner gekenmerkt als een exemplaar van wat het Jenga noemt, dat ontstaat vanwege de onderling verbonden aard van verschillende cloudservices, waardoor beveiligingsrisico’s worden doorgegeven.

“Cloudproviders bouwen hun diensten bovenop hun andere bestaande diensten,” zei Matan. “Als de ene service wordt aangevallen of wordt gecompromitteerd, erven de andere die er bovenop zijn gebouwd het risico erven en worden ze ook kwetsbaar.”

“Dit scenario opent de deur voor aanvallers om nieuwe escalatiemogelijkheden en zelfs kwetsbaarheden te ontdekken en introduceert nieuwe verborgen risico’s voor verdedigers.”

De openbaarmaking komt weken nadat Praetoriaans verschillende manieren waarop een opdrachtgever met een lager privilege is gedetailleerd, een Azure Virtual Machine (VM) kan misbruiken om controle te krijgen over een Azure -abonnement –

  • Voer opdrachten uit op een Azure VM die is gekoppeld aan een administratieve beheerde identiteit
  • Log in op een Azure VM geassocieerd met een administratieve beheerde identiteit
  • Voeg een bestaande beheerde door de gebruiker toegewezen beheerde identiteit toe aan een bestaande Azure VM en voercommando’s uit in die VM
  • Maak een nieuwe Azure VM, voeg een bestaande administratieve beheerde identiteit toe en voercommando’s in die VM uit met behulp van gegevensvliegtuigacties

“Na het verkrijgen van de rol van de eigenaar voor een abonnement, kan een aanvaller mogelijk zijn brede controle over alle abonnementsbronnen benutten om een ​​escalatiepad van het privilege naar de ENTRA ID -huurder te vinden,” zeiden beveiligingsonderzoekers Andrew Chang en Elgin Lee.

“Dit pad is gebaseerd op een rekenbron in het slachtofferabonnement met een servicedirecteur met Entra ID -machtigingen waarmee het zichzelf kan escaleren naar de wereldwijde beheerder.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

De nieuwste chip van MediaTek is veel te krachtig voor Chromeos – of toch?

Sony heeft zojuist een 4K -laserprojector aangekondigd die minder weegt dan uw bagage

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]