פגיעות חדשה שהתגלתה ב-Google Cloud Build מאפשרת לתוקפים להתעסק ולהחדיר תוכנות זדוניות לתמונות המאוחסנות ב-Artifact Registry, המאגר של גוגל לאירוח חפצי תוכנה כגון חבילות ותמונות מיכל.
כל יישומים שמשתמשים אז באותן תמונות מיכל שנפגעו מסתכנות בזיהומים של תוכנות זדוניות, התקפות מניעת שירות, גניבת נתונים והשפעות שליליות אחרות.
בעיית Bad.Build
חוקרים ב-Orca Security גילו לאחרונה את הפגם, שאותו כינו Bad.Build, בעת ניתוח בקשת קריאה של ממשק תכנות יישומים (API) הקשורה למשאב פלטפורמת ענן של Google. הם דיווחו על הבעיה לגוגל, שחקרה את הבעיה והוציאה תיקון עבורה ביוני.
עם זאת, אורקה, בדוח השבוע, תיאר את התיקון כלא מספיק ומטפל רק בחלקו בפגיעות.
"הפגם מהווה סיכון משמעותי לשרשרת האספקה מכיוון שהוא מאפשר לתוקפים להתעסק בזדון בתמונות אפליקציות, מה שעלול להדביק משתמשים ולקוחות כשהם מתקינים את האפליקציה", אמר חוקר איומי הענן של Orca, רועי ניסמי. "כפי שראינו עם SolarWinds ולאחרונה 3CX ו תזיז את זה התקפות שרשרת האספקה, יכולות להיות לכך השלכות מרחיקות לכת."
לפי Orca, הפגם של Bad.Build הוא באמת בעיית עיצוב וקשור להרשאות ברירת המחדל הקשורות לשירות Google Cloud Build. ההרשאות המופרזות הקשורות לשירות נותנות ליריבים דרך קלה יחסית לגשת ליומני ביקורת המכילים רשימה מלאה של הרשאות המשויכות לכל חשבונות GCP ב"פרויקט של Google Cloud Build".
"מה שהופך את המידע הזה לכל כך משתלם הוא שהוא מקל מאוד על תנועה רוחבית והסלמה של זכויות בסביבה", אמר ניסמי. "הידיעה איזה חשבון GCP יכול לבצע איזו פעולה שווה לפתרון חלק גדול מהפאזל כיצד לצאת להתקפה."
החוקרים של Orca גילו שעל ידי שימוש בחשבון GCP עם הרשאה ליצור מבנה חדש (cloudbuild.builds.create), הם יכולים להתחזות בקלות יחסית לחשבון Cloud Build Service ולהציג את כל הרשאות הפרויקט. "לתוקף יהיה צורך בגישה להרשאת cloudbuild.builds.create, שיכולה להתקבל באמצעות גישה פנימית או על ידי גורם חיצוני שקיבל גישה לא מורשית למשתמש עם הרשאה זו", אומר ניסמי, בהערות ל-Dark Reading .
פשוט לניצול
"הם יצטרכו להפעיל רק שלוש שורות קוד כדי לבנות תמונת Gcloud ציבורית על שרתי Cloud Build ולהריץ את הפקודות כפי שמוצגות שלנו הוכחה של רעיון או תאוריה להסלים את ההרשאות של המשתמש ולבצע כל פעולה שחשבון Cloud Build Service מורשה לבצע", הוא אומר.
התיקון של גוגל עבור Bad.Build מסיר את הרשאת הרישום מתפקיד שירות ברירת המחדל של Google Cloud Build, מה שאומר שלשירות מסוים אין יותר גישה ליומני הביקורת שמפרטים את כל ההרשאות של הפרויקט בכל פעם שיש שינוי, מציין ניסימי.
עם זאת, יש רשימה שלמה של תפקידים אחרים עם הרשאת cloudbuild.builds.create שיכולים לעשות את אותו הדבר. כל משתמש עם הרשאת cloudbuild.builds.create יכול להסלים הרשאות ולבצע מגוון רחב של פעולות - כולל מניפולציה של תמונות והחדרת קוד זדוני לתוכן - אלא אם ארגונים מבטלים באופן ספציפי את הרשאות ברירת המחדל של שירות Google Cloud Build, הוא אומר.
לדוברת גוגל לא היה הרבה מה לומר על הפגם או הטענות על תיקון חלקי. "אנו מעריכים את עבודתם של החוקרים ושילבנו תיקון המבוסס על הדו"ח שלהם כפי שמתואר במסמך עלון אבטחה הונפק בתחילת יוני", אמרה.
הגבלת הרשאות
כאשר משתמשים מפעילים את Cloud Build API בפרויקט, Cloud Build יוצר באופן אוטומטי א חשבון שירות ברירת מחדל לבצע בונים מטעם המשתמש, על פי הייעוץ של גוגל לגבי הפגיעות. חשבון שירות Cloud Build זה אפשר בעבר ל-build לקבל גישה ליומנים פרטיים כברירת מחדל, אך כפי שצוין בעלון האבטחה של 8 ביוני, "הרשאה זו בוטלה כעת מחשבון השירות של Cloud Build כדי לציית ל- עקרון האבטחה של הזכות הקטנה ביותר".
לפי Nisimi, נראה שהעמדה של גוגל היא שהבעיה היא ברירת המחדל שארגונים בוחרים להפעיל עבור Cloud Build. לדבריו, "גוגל מכירה בכך שקיים סיכון להתקפה בשרשרת האספקה כפי שתואר, אך הוא סובב סביב הבחירה של הרשאות ברירת מחדל התומכות בזרימות העבודה הנפוצות ביותר של פיתוח."
העמדה של גוגל היא שהלקוחות אחראים לנעילה נוספת של גישה לתרחישים מתקדמים יותר. "לכן הסיכון בשרשרת האספקה מתמשך, וארגונים חייבים להגביל את ההרשאות של cloudbuild.builds.create ככל האפשר כדי להפחית את הסיכון להתקפת שרשרת האספקה", אומר ניסמי.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
- מקור: https://www.darkreading.com/application-security/design-flaw-in-google-cloud-build-enables-privilege-escalation-code-tampering
- :יש ל
- :הוא
- 7
- 8
- a
- אודות
- גישה
- פי
- חֶשְׁבּוֹן
- חשבונות
- פעולה
- פעולות
- פְּנִיָה
- לדבוק
- מתקדם
- ייעוץ
- תעשיות
- מותר
- מאפשר
- an
- ניתוח
- ו
- כל
- API
- מופיע
- בקשה
- יישומים
- להעריך
- ARE
- סביב
- AS
- המשויך
- At
- לתקוף
- המתקפות
- בדיקה
- באופן אוטומטי
- רע
- מבוסס
- BE
- היה
- בשם
- לִבנוֹת
- בונה
- עלון
- אבל
- by
- שיחה
- CAN
- שרשרת
- שינוי
- בחירה
- בחרו
- טענות
- ענן
- פלטפורמת ענן
- קוד
- הערות
- Common
- להשלים
- התפשר
- השלכות
- להכיל
- מכולה
- יכול
- לִיצוֹר
- יוצר
- לקוחות
- כהה
- קריאה אפלה
- נתונים
- בְּרִירַת מֶחדָל
- מְתוּאָר
- עיצוב
- צעצועי התפתחות
- גילה
- do
- מטה
- דיבוב
- כל אחד
- מוקדם
- בקלות
- קל
- או
- לאפשר
- מאפשר
- שלם
- סביבה
- שווה
- להסלים
- הסלמה
- לבצע
- מקל
- רחוק
- לסדר
- פגם
- בעד
- החל מ-
- נוסף
- צבר
- לתת
- Google Cloud
- פלטפורמת Google Cloud
- גדול
- מאוד
- היה
- יש
- he
- אירוח
- איך
- איך
- HTTPS
- תמונה
- תמונות
- השפעות
- in
- כולל
- התאגדה
- זיהומים
- מידע
- לְהַזרִיק
- Insider
- להתקין
- מִמְשָׁק
- אל תוך
- סוגיה
- הפיקו
- IT
- jpg
- יוני
- רק
- יודע
- לשגר
- הכי פחות
- להגביל
- קווים
- רשימה
- קְצָת
- רישום
- עוד
- משתלם
- עושה
- עשייה
- תוכנות זדוניות
- מניפולציה
- אומר
- יותר
- רוב
- תנועה
- הרבה
- צריך
- צורך
- שלילי
- חדש
- חדש
- לא
- ציין
- הערות
- עַכשָׁיו
- מושג
- of
- on
- רק
- or
- אורקה
- ארגונים
- אחר
- שלנו
- המתואר
- חבילות
- מסוים
- לְבַצֵעַ
- רשות
- הרשאות
- לְחַבֵּר
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- אפשרי
- מתנות
- קוֹדֶם
- עקרון
- פְּרָטִי
- זְכוּת
- הרשאות
- בעיה
- תכנות
- פּרוֹיֶקט
- ציבורי
- חִידָה
- רכס
- הגעה
- קריאה
- בֶּאֱמֶת
- לאחרונה
- לאחרונה
- מזהה
- להפחית
- רישום
- יחסית
- לדווח
- דווח
- מאגר
- לבקש
- חוקר
- חוקרים
- משאב
- אחראי
- סובב
- הסיכון
- ההחזר על ההשקעה
- תפקיד
- תפקידים
- הפעלה
- s
- אמר
- אותו
- לומר
- אומר
- תרחישים
- אבטחה
- לראות
- שרתים
- שרות
- היא
- הראה
- משמעותי
- since
- So
- תוכנה
- השמש
- פותר
- במיוחד
- מאוחסן
- כזה
- לספק
- שרשרת אספקה
- מסייע
- זֶה
- השמיים
- גְנֵבָה
- שֶׁלָהֶם
- אותם
- אז
- שם.
- לכן
- הֵם
- דבר
- זֶה
- אלה
- איום
- שְׁלוֹשָׁה
- דרך
- זמן
- ל
- להשתמש
- משתמש
- משתמשים
- באמצעות
- לצפיה
- פגיעות
- דֶרֶך..
- we
- מה
- מתי
- אשר
- כל
- רָחָב
- טווח רחב
- עם
- תיק עבודות
- זרימות עבודה
- היה
- זפירנט