یک آسیبپذیری تازه کشفشده در Google Cloud Build به مهاجمان امکان میدهد تا با دستکاری و تزریق بدافزار به تصاویر ذخیرهشده در Artifact Registry، مخزن Google برای میزبانی مصنوعات نرمافزاری مانند بستهها و تصاویر کانتینر، اقدام کنند.
پس از آن، هر برنامهای که از آن تصاویر کانتینر در معرض خطر استفاده میکند، خطر عفونتهای بدافزار، حملات انکار سرویس، سرقت دادهها و سایر اثرات منفی را به همراه دارد.
موضوع Bad.Build
محققان Orca Security اخیراً هنگام تجزیه و تحلیل درخواست تماس رابط برنامهنویسی برنامهنویسی (API) مرتبط با منبع پلتفرم ابری Google، این نقص را کشف کردند که آن را Bad.Build نامیدند. آنها این مشکل را به گوگل گزارش کردند، که این مشکل را بررسی کرد و در ماه ژوئن یک راه حل برای آن صادر کرد.
با این حال، اورکا، در گزارش این هفته، اصلاح را ناکافی توصیف کرد و فقط تا حدی آسیب پذیری را برطرف کرد.
روی نسیمی، محقق تهدید ابری Orca، گفت: «این نقص خطر زنجیره تأمین قابل توجهی را به همراه دارد، زیرا به مهاجمان اجازه میدهد تا تصاویر برنامه را به طور مخرب دستکاری کنند، که میتواند کاربران و مشتریان را هنگام نصب برنامه آلوده کند». همانطور که با SolarWinds و اخیر دیدهایم 3CX و MOVEit حملات زنجیره تامین، این می تواند عواقب بسیار گسترده ای داشته باشد."
به گفته Orca، نقص Bad.Build واقعاً یک مشکل طراحی است و به مجوزهای پیش فرض مرتبط با سرویس Google Cloud Build مربوط می شود. مجوزهای بیش از حد مرتبط با این سرویس به دشمنان راهی نسبتاً آسان برای دسترسی به گزارشهای حسابرسی میدهد که حاوی فهرست کاملی از مجوزهای مرتبط با تمام حسابهای GCP در «پروژه» ساخت Google Cloud است.
نیمیمی گفت: «آنچه این اطلاعات را بسیار سودآور می کند این است که حرکت جانبی و افزایش امتیاز در محیط را تا حد زیادی تسهیل می کند. "دانستن اینکه کدام حساب GCP می تواند کدام عمل را انجام دهد برابر است با حل یک قطعه عالی از پازل در مورد نحوه شروع یک حمله."
محققان Orca دریافتند که با استفاده از یک حساب GCP با مجوز برای ایجاد یک ساخت جدید (cloudbuild.builds.create)، می توانند به راحتی هویت حساب Cloud Build Service را جعل کنند و تمام مجوزهای پروژه را مشاهده کنند. نیمیمی در اظهار نظر به Dark Reading میگوید: «یک مهاجم باید به مجوز cloudbuild.builds.create دسترسی داشته باشد، که میتواند از طریق دسترسی داخلی یا توسط یک فرد خارجی که دسترسی غیرمجاز به کاربر با این مجوز را به دست آورده باشد. .
ساده برای بهره برداری
آنها باید فقط سه خط کد را اجرا کنند تا یک تصویر عمومی Gcloud در سرورهای Cloud Build ایجاد کنند و دستورات را همانطور که در ما نشان داده شده است اجرا کنند. اثبات مفهوم برای افزایش امتیازات کاربر و اجرای هر اقدامی که حساب سرویس ساخت ابری مجاز به انجام آن است."
Nisimi خاطرنشان میکند که اصلاح Google برای Bad.Build مجوز ورود به سیستم را از نقش پیشفرض سرویس Google Cloud Build حذف میکند، به این معنی که سرویس خاصی دیگر به گزارشهای ممیزی که هر بار که تغییری رخ میدهد، مجوزهای کل پروژه را فهرست میکند، دسترسی ندارد.
با این حال، فهرست کاملی از نقشهای دیگر با مجوز cloudbuild.builds.create وجود دارد که میتوانند همین کار را انجام دهند. او میگوید، هر کاربری با مجوز cloudbuild.builds.create میتواند امتیازات را افزایش دهد و طیف گستردهای از اقدامات - از جمله دستکاری تصاویر و تزریق کد مخرب به آنها - را انجام دهد، مگر اینکه سازمانها به طور خاص مجوزهای پیشفرض سرویس Google Cloud Build را لغو کنند.
سخنگوی گوگل در مورد نقص یا ادعای اصلاح جزئی چیزی برای گفتن نداشت. "ما از کار محققان قدردانی می کنیم و بر اساس گزارش آنها همانطور که در a بولتن امنیتی اوایل ژوئن صادر شد.»
محدود کردن امتیازات
هنگامی که کاربران Cloud Build API را در یک پروژه فعال می کنند، Cloud Build به طور خودکار یک a را ایجاد می کند حساب سرویس پیش فرض طبق توصیه Google در مورد آسیبپذیری، ساختها را از طرف کاربر اجرا کنید. این حساب سرویس Cloud Build قبلاً به ساخت اجازه می داد به طور پیش فرض به گزارش های خصوصی دسترسی داشته باشد، اما همانطور که بولتن امنیتی 8 ژوئن اشاره کرد، "این مجوز اکنون از حساب سرویس Cloud Build لغو شده است تا به این قوانین پایبند باشد. اصل امنیت کمترین امتیاز"
به گفته Nisimi، به نظر می رسد موضع گوگل این است که موضوع مجوزهای پیش فرضی است که سازمان ها برای فعال کردن Cloud Build انتخاب می کنند. او میگوید: «گوگل تشخیص میدهد که خطر حمله زنجیره تأمین همانطور که توضیح داده شد وجود دارد، اما این موضوع حول محور انتخاب مجوزهای پیشفرض است که از رایجترین گردشهای کاری توسعه پشتیبانی میکند».
موضع گوگل این است که مشتریان مسئول قفل کردن بیشتر دسترسی برای سناریوهای پیشرفته تر هستند. Nisimi میگوید: «بنابراین ریسک زنجیره تأمین پایدار است و سازمانها باید مجوز ایجاد cloudbuild.builds.create را تا حد امکان محدود کنند تا خطر حمله زنجیره تأمین را کاهش دهند».
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. خودرو / خودروهای الکتریکی، کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- BlockOffsets. نوسازی مالکیت افست زیست محیطی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/application-security/design-flaw-in-google-cloud-build-enables-privilege-escalation-code-tampering
- : دارد
- :است
- 7
- 8
- a
- درباره ما
- دسترسی
- مطابق
- حساب
- حساب ها
- عمل
- اقدامات
- خطاب به
- پایبند بودن
- پیشرفته
- مشاوره
- معرفی
- مجاز
- اجازه می دهد تا
- an
- تجزیه و تحلیل
- و
- هر
- API
- ظاهر می شود
- کاربرد
- برنامه های کاربردی
- قدردانی
- هستند
- دور و بر
- AS
- مرتبط است
- At
- حمله
- حمله
- حسابرسی
- بطور خودکار
- بد
- مستقر
- BE
- بوده
- از طرف
- ساختن
- می سازد
- پژوهشنامه
- اما
- by
- صدا
- CAN
- زنجیر
- تغییر دادن
- انتخاب
- را انتخاب کنید
- ادعای
- ابر
- بستر ابری
- رمز
- نظرات
- مشترک
- کامل
- در معرض خطر
- عواقب
- شامل
- ظرف
- میتوانست
- ایجاد
- ایجاد
- مشتریان
- تاریک
- تاریک خواندن
- داده ها
- به طور پیش فرض
- شرح داده شده
- طرح
- پروژه
- کشف
- do
- پایین
- دوبله شده
- هر
- در اوایل
- به آسانی
- ساده
- هر دو
- قادر ساختن
- را قادر می سازد
- تمام
- محیط
- برابر
- تشدید
- تشدید
- اجرا کردن
- تسهیل می کند
- بسیار
- رفع
- نقص
- برای
- از جانب
- بیشتر
- به دست آورد
- دادن
- گوگل
- Google Cloud
- Google Cloud Platform
- بزرگ
- تا حد زیادی
- بود
- آیا
- he
- میزبانی وب
- چگونه
- چگونه
- HTTPS
- تصویر
- تصاویر
- اثرات
- in
- از جمله
- ادغام شده
- عفونت
- اطلاعات
- تزریق کنید
- محرم راز
- نصب
- رابط
- به
- موضوع
- صادر
- IT
- JPG
- ژوئن
- تنها
- دانا
- راه اندازی
- کمترین
- محدود
- خطوط
- فهرست
- کوچک
- ورود به سیستم
- دیگر
- نافع
- باعث می شود
- ساخت
- نرم افزارهای مخرب
- دستکاری کردن
- به معنی
- بیش
- اکثر
- جنبش
- بسیار
- باید
- نیاز
- منفی
- جدید
- به تازگی
- نه
- اشاره کرد
- یادداشت
- اکنون
- به دست آمده
- of
- on
- فقط
- or
- نهنگ قاتل
- سازمان های
- دیگر
- ما
- مشخص شده
- بسته
- ویژه
- انجام
- اجازه
- مجوز
- قطعه
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- ممکن
- هدیه
- قبلا
- اصل
- خصوصی
- امتیاز
- امتیازات
- مشکل
- برنامه نويسي
- پروژه
- عمومی
- پازل
- محدوده
- رسیدن به
- مطالعه
- واقعا
- اخیر
- تازه
- به رسمیت می شناسد
- كاهش دادن
- رجیستری
- نسبتا
- گزارش
- گزارش
- مخزن
- درخواست
- پژوهشگر
- محققان
- منابع
- مسئوليت
- می چرخد
- خطر
- ROI
- نقش
- نقش
- دویدن
- s
- سعید
- همان
- گفتن
- می گوید:
- سناریوها
- تیم امنیت لاتاری
- مشاهده گردید
- سرور
- سرویس
- او
- نشان داده شده
- قابل توجه
- پس از
- So
- نرم افزار
- SolarWinds
- حل کردن
- به طور خاص
- ذخیره شده
- چنین
- عرضه
- زنجیره تامین
- حمایت از
- که
- La
- سرقت
- شان
- آنها
- سپس
- آنجا.
- از این رو
- آنها
- چیز
- این
- کسانی که
- تهدید
- سه
- از طریق
- زمان
- به
- استفاده کنید
- کاربر
- کاربران
- با استفاده از
- چشم انداز
- آسیب پذیری
- مسیر..
- we
- چی
- چه زمانی
- که
- تمام
- وسیع
- دامنه گسترده
- با
- مهاجرت کاری
- گردش کار
- خواهد بود
- زفیرنت