تمكن الثغرة المكتشفة حديثًا في Google Cloud Build المهاجمين من العبث بالبرامج الضارة وحقنها في الصور المخزنة في Artifact Registry ، وهو مستودع Google لاستضافة عناصر البرامج مثل الحزم وصور الحاويات.
أي تطبيقات تستفيد بعد ذلك من صور الحاويات التي تم اختراقها تخاطر بالإصابة بالبرامج الضارة وهجمات رفض الخدمة وسرقة البيانات والتأثيرات السلبية الأخرى.
قضية البناء السيئ
اكتشف الباحثون في Orca Security مؤخرًا الخلل ، والذي أطلقوا عليه اسم Bad.Build ، عند تحليل طلب استدعاء واجهة برمجة التطبيقات (API) المرتبط بمورد النظام الأساسي السحابي من Google. لقد أبلغوا Google بالمشكلة ، التي حققت في المشكلة وأصدرت إصلاحًا لها في يونيو.
ومع ذلك ، أوركا ، في تقرير هذا الأسبوع، وصف الإصلاح بأنه غير كاف ويعالج الثغرة بشكل جزئي فقط.
قال روي نيسيمي ، الباحث في التهديدات السحابية من Orca: "يمثل الخلل خطرًا كبيرًا في سلسلة التوريد لأنه يسمح للمهاجمين بالتلاعب بشكل ضار بصور التطبيق ، والتي يمكن أن تصيب المستخدمين والعملاء عند تثبيت التطبيق". "كما رأينا مع SolarWinds وحديثة 3CX و حركه هجمات سلسلة التوريد ، يمكن أن يكون لذلك عواقب بعيدة المدى ".
وفقًا لـ Orca ، فإن عيب البناء السيئ هو بالفعل مشكلة في التصميم ويتعلق بالأذونات الافتراضية المرتبطة بخدمة Google Cloud Build. تمنح الأذونات الزائدة المرتبطة بالخدمة الخصوم طريقة سهلة نسبيًا للوصول إلى سجلات التدقيق التي تحتوي على قائمة كاملة بالأذونات المرتبطة بجميع حسابات GCP في "مشروع" Google Cloud Build.
قال نيسيمي: "ما يجعل هذه المعلومات مربحة للغاية هو أنها تسهل بشكل كبير الحركة الجانبية وتصعيد الامتيازات في البيئة". "معرفة حساب Google Cloud Platform الذي يمكنه تنفيذ الإجراء الذي يعادل حل جزء كبير من اللغز حول كيفية شن هجوم".
اكتشف باحثو Orca أنه باستخدام حساب GCP مع الإذن لإنشاء بنية جديدة (cloudbuild.builds.create) ، يمكنهم بسهولة نسبيًا انتحال شخصية حساب Cloud Build Service وعرض جميع أذونات المشروع. يقول نيسيمي في تعليقات لـ Dark Reading: "سيحتاج المهاجم إلى الوصول إلى cloudbuild.builds.create إذن ، والذي يمكن الحصول عليه إما من خلال الوصول الداخلي أو عن طريق شخص خارجي حصل على وصول غير مصرح به إلى مستخدم بهذا الإذن". .
سهل الاستغلال
"سيحتاجون إلى تنفيذ ثلاثة أسطر فقط من التعليمات البرمجية لإنشاء صورة Gcloud عامة على خوادم Cloud Build وتشغيل الأوامر كما هو موضح في دليل على المفهوم لتصعيد امتيازات المستخدم وتنفيذ أي إجراء يُسمح لحساب Cloud Build Service بأدائه "، كما يقول.
إصلاح Google لـ Bad: يزيل البناء إذن التسجيل من دور خدمة Google Cloud Build الافتراضي ، مما يعني أن خدمة معينة لم تعد قادرة على الوصول إلى سجلات التدقيق التي تسرد أذونات المشروع بالكامل في كل مرة يحدث فيها تغيير ، كما يلاحظ نيسيمي.
ومع ذلك ، هناك قائمة كاملة بالأدوار الأخرى باستخدام إذن cloudbuild.builds.create الذي يمكنه فعل الشيء نفسه. يمكن لأي مستخدم لديه إذن cloudbuild.builds.create تصعيد الامتيازات وتنفيذ مجموعة واسعة من الإجراءات - بما في ذلك التلاعب بالصور وحقن التعليمات البرمجية الضارة فيها - ما لم تقم المؤسسات على وجه التحديد بإلغاء الأذونات الافتراضية لخدمة Google Cloud Build.
كان لدى المتحدثة باسم Google القليل لتقوله عن الخلل أو الادعاءات المتعلقة بإصلاح جزئي. "نحن نقدر عمل الباحثين وقد أدرجنا إصلاحًا بناءً على تقريرهم كما هو موضح في أ نشرة الأمن صدر في أوائل يونيو ، قالت.
تحديد الامتيازات
عندما يقوم المستخدمون بتمكين Cloud Build API في مشروع ، يقوم Cloud Build تلقائيًا بإنشاء ملف حساب الخدمة الافتراضي لتنفيذ عمليات البناء نيابة عن المستخدم ، وفقًا لاستشارة Google حول الثغرة الأمنية. كان حساب خدمة Cloud Build هذا يسمح سابقًا للبناء بالوصول إلى السجلات الخاصة افتراضيًا ، ولكن كما أشارت نشرة الأمن في 8 يونيو ، "تم إلغاء هذا الإذن الآن من حساب خدمة Cloud Build للالتزام بـ مبدأ الأمان الأقل امتيازًا".
وفقًا لـ Nisimi ، يبدو أن موقف Google هو أن المشكلة هي الأذونات الافتراضية التي تختارها المؤسسات لتمكين Cloud Build. يقول ، "تدرك Google أن هناك مخاطر هجوم سلسلة التوريد كما هو موضح ، لكنها تدور حول اختيار الأذونات الافتراضية التي تدعم عمليات سير عمل التطوير الأكثر شيوعًا."
يتمثل موقف Google في أن العملاء يتحملون مسؤولية المزيد من تأمين الوصول للسيناريوهات الأكثر تقدمًا. يقول نيسيمي: "لذلك ، فإن مخاطر سلسلة التوريد مستمرة ، ويجب على المؤسسات أن تحد من Cloudbuild.builds.cnm" إنشاء الإذن قدر الإمكان لتقليل مخاطر هجوم سلسلة التوريد ".
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/design-flaw-in-google-cloud-build-enables-privilege-escalation-code-tampering
- :لديها
- :يكون
- 7
- 8
- a
- من نحن
- الوصول
- وفقا
- حسابي
- الحسابات
- اكشن
- الإجراءات
- معالجة
- انضمت
- متقدم
- استشاري
- الكل
- سمح
- يسمح
- an
- تحليل
- و
- أي وقت
- API
- يبدو
- تطبيق
- التطبيقات
- نقدر
- هي
- حول
- AS
- أسوشيتد
- At
- مهاجمة
- الهجمات
- التدقيق
- تلقائيا
- سيئة
- على أساس
- BE
- كان
- باسمى او لاجلى
- نساعدك في بناء
- يبني
- نشرة
- لكن
- by
- دعوة
- CAN
- سلسلة
- تغيير
- خيار
- اختار
- مطالبات
- سحابة
- منصة سحابة
- الكود
- تعليقات
- مشترك
- إكمال
- تسوية
- النتائج
- تحتوي على
- وعاء
- استطاع
- خلق
- يخلق
- العملاء
- غامق
- قراءة مظلمة
- البيانات
- الترتيب
- وصف
- تصميم
- التطوير التجاري
- اكتشف
- do
- إلى أسفل
- يطلق عليها اسم
- كل
- في وقت مبكر
- بسهولة
- سهل
- إما
- تمكين
- تمكن
- كامل
- البيئة
- متساو
- يتصعد
- التصعيد
- تنفيذ
- يسهل
- بعيدا
- حل
- عيب
- في حالة
- تبدأ من
- إضافي
- اكتسبت
- منح
- شراء مراجعات جوجل
- سحابة جوجل
- نظام التشغيل السحابي من غوغل
- عظيم
- جدا
- كان
- يملك
- he
- استضافة
- كيفية
- كيفية
- HTTPS
- صورة
- صور
- الآثار
- in
- بما فيه
- الاشتقاق
- العدوى
- معلومات
- حقن
- مطلع
- تثبيت
- السطح البيني
- إلى
- قضية
- نشر
- IT
- JPG
- يونيو
- م
- معرفة
- إطلاق
- الأقل
- مما سيحدث
- خطوط
- قائمة
- القليل
- تسجيل
- يعد
- مربح
- يصنع
- القيام ب
- البرمجيات الخبيثة
- التلاعب
- يعني
- الأكثر من ذلك
- أكثر
- حركة
- كثيرا
- يجب
- حاجة
- سلبي
- جديد
- حديثا
- لا
- وأشار
- ملاحظة
- الآن
- تم الحصول عليها
- of
- on
- فقط
- or
- أرك
- المنظمات
- أخرى
- لنا
- أوجز
- حزم
- خاص
- نفذ
- إذن
- أذونات
- قطعة
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- ممكن
- الهدايا
- سابقا
- مبدأ
- خاص
- امتياز
- الامتيازات
- المشكلة
- برمجة وتطوير
- تنفيذ المشاريع
- جمهور
- لغز
- نطاق
- الوصول إلى
- نادي القراءة
- في الحقيقة
- الأخيرة
- مؤخرا
- يعترف
- تخفيض
- سجل
- نسبيا
- تقرير
- وذكرت
- مستودع
- طلب
- الباحث
- الباحثين
- مورد
- مسؤول
- يدور
- المخاطرة
- العائد على الاستثمار
- النوع
- الأدوار
- يجري
- s
- قال
- نفسه
- قول
- يقول
- سيناريوهات
- أمن
- رأيت
- خوادم
- الخدمة
- هي
- أظهرت
- هام
- منذ
- So
- تطبيقات الكمبيوتر
- سولارويندز
- حل
- على وجه التحديد
- تخزين
- هذه
- تزويد
- سلسلة التوريد
- دعم
- أن
- •
- سرقة
- من مشاركة
- منهم
- then
- هناك.
- وبالتالي
- هم
- شيء
- هؤلاء
- التهديد
- ثلاثة
- عبر
- الوقت
- إلى
- تستخدم
- مستخدم
- المستخدمين
- استخدام
- المزيد
- الضعف
- طريق..
- we
- ابحث عن
- متى
- التي
- كامل
- واسع
- مدى واسع
- مع
- للعمل
- سير العمل
- سوف
- زفيرنت