Ошибка Google Cloud может позволить хакерам использовать сервис для запуска атак

Ошибка Google Cloud может позволить хакерам использовать сервис для запуска атак. Фото: из архива компании

Исследователи назвали уязвимость Bad.Build, заявив, что она позволяет злоумышленникам выдавать себя за учетную запись службы управляемой непрерывной интеграции и доставки (CI/CD) Google Cloud Build. Это, в свою очередь, позволяет им выполнять вызовы API к реестру артефактов, эффективно захватывая контроль над образами приложений.

Получив полный контроль, злоумышленники могут добавлять вредоносный код, теоретически нарушая различные цепочки поставок, поражая бесчисленное количество конечных точек.

Специалисты охранной фирмы Rhino Security Lab также столкнулись с этой уязвимостью, но с несколько более сложным эксплойтом. Метод Rhino включает использование GCP API и токенов доступа к удаленным учетным записям Cloud Build Service.

Команда Orca использовала разрешения cloudbuilds.builds.create для получения повышенных привилегий, позволяя злоумышленникам настраивать образы докеров Google Kubernetes Engine (GKE), по сути запуская код внутри контейнера докеров от имени пользователя root.

С помощью Bad.Build злоумышленники могут проводить атаки на цепочки поставок. Воспользовавшись уязвимостью, хакеры и другие киберпреступники могут внедрить вредоносное ПО в образы приложений, которые впоследствии будут использоваться различными организациями в многочисленных сетях и конечных точках. Вредоносное ПО может использоваться для всех видов хакерской деятельности, от кражи конфиденциальных данных до развертывания программ-вымогателей, от установки криптомайнеров до выполнения атак типа «отказ в обслуживании» (DoS).

Кроме того, если вредоносные приложения в конечном итоге будут развернуты локально или в полу-среде SaaS, клиенты организации-жертвы также могут подвергнуться риску.

Вскоре после обнаружения уязвимости команда Google выпустила пресс-релиз, в котором поблагодарила специалистов Orca за их усилия по обнаружению уязвимости.

Из сообщения Google:

«Мы создали нашу программу вознаграждений за уязвимости специально для выявления и устранения уязвимостей, подобных этой. Мы признательны Orca и более широкому сообществу безопасности за участие в этих программах. Мы ценим работу исследователей и включили исправление на основе их отчета, изложенного в бюллетене по безопасности, выпущенном в начале июня».

Представители Google также посоветовали своим клиентам изменить разрешения учетной записи службы Cloud Bild по умолчанию и удалить учетные данные, которые не соответствуют Принципу наименьших привилегий (PoLP).

Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит ПО российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Плагин WordPress с более чем миллионом установок имел серьезную уязвимость в безопасности.
• Bluehost автоматизирует процесс создания веб-сайтов WordPress с помощью нового набора AI.
• Хакеры используют уязвимость плагина Ultimate Member WordPress с 200 тысячами установок для захвата сайтов.