Une faille de conception critique dans le service Google Cloud Build découverte par la société de sécurité cloud Orca Security peut permettre aux attaquants d’élever les privilèges, leur fournissant un accès presque complet et non autorisé aux référentiels de code Google Artifact Registry.
Surnommée Bad.Build, cette faille pourrait permettre aux acteurs de la menace d’usurper l’identité du compte de service du service d’intégration et de livraison continues (CI/CD) géré de Google Cloud Build pour exécuter des appels d’API sur le registre d’artefacts et prendre le contrôle des images d’application.
Cela leur permet d’injecter du code malveillant, ce qui entraîne des applications vulnérables et des attaques potentielles de la chaîne d’approvisionnement après le déploiement des applications malveillantes dans les environnements des clients.
« L’impact potentiel peut être divers et s’applique à toutes les organisations qui utilisent le registre d’artefacts comme référentiel d’images principal ou secondaire », a déclaré Roi Nisimi, chercheur en sécurité chez Orca.
« Le premier impact immédiat est la perturbation des applications reposant sur ces images. Cela peut entraîner des DOS, des vols de données et la propagation de logiciels malveillants aux utilisateurs.
« Comme nous l’avons vu avec SolarWinds et les récentes attaques de la chaîne d’approvisionnement 3CX et MOVEit, cela peut avoir des conséquences considérables. »
La même vulnérabilité a été observée et signalée par Rhino Security Lab ici. Pourtant, leur méthode pour exploiter cette faille d’escalade de privilèges était plus complexe, impliquant l’utilisation de l’API GCP et des jetons d’accès au compte de service Cloud Build exfiltrés.
L’attaque d’Orca Security tire parti de l’autorisation cloudbuild.builds.create pour élever les privilèges et permettre aux attaquants de falsifier les images docker de Google Kubernetes Engine (GKE) à l’aide des autorisations d’artefactregistry et d’exécuter du code à l’intérieur du conteneur docker en tant que root.
Après qu’Orca Security ait signalé le problème, l’équipe de sécurité de Google a implémenté un correctif partiel révoquant l’autorisation logging.privateLogEntries.list du compte de service Cloud Build par défaut, sans rapport avec Artifact Registry.
Il est important de noter que cette mesure n’a pas directement abordé la vulnérabilité sous-jacente dans le registre des artefacts, laissant intact le vecteur d’escalade des privilèges et le risque d’attaque de la chaîne d’approvisionnement.
« Cependant, le correctif de Google ne révoque pas le vecteur d’escalade de privilèges (PE) découvert. Il ne fait que le limiter – en le transformant en un défaut de conception qui laisse toujours les organisations vulnérables au risque plus large de la chaîne d’approvisionnement », a déclaré Nisimi.
« Il est donc important que les organisations portent une attention particulière au comportement du compte de service Google Cloud Build par défaut. L’application du principe du moindre privilège et la mise en œuvre de capacités de détection et de réponse dans le cloud pour identifier les anomalies font partie des recommandations pour réduire les risques. »
Il est conseillé aux clients Google Cloud Build de modifier les autorisations par défaut du compte de service Cloud Build pour qu’elles correspondent à leurs besoins et de supprimer les identifiants de droits qui vont à l’encontre du principe du moindre privilège (PoLP) afin d’atténuer les risques d’escalade des privilèges.
En avril, Google a également corrigé une vulnérabilité de sécurité de Google Cloud Platform (GCP) appelée GhostToken qui permettait aux attaquants de détourner n’importe quel compte Google à l’aide d’applications OAuth malveillantes.