Menu dostępności

Podatność w Google Cloud Run umożliwia nieautoryzowany dostęp do obrazu poprzez niewłaściwe użycie IAM

Podatność w Google Cloud Run umożliwia nieautoryzowany dostęp do obrazu poprzez niewłaściwe użycie IAM

Specjaliści cyberbezpieczeństwa z Tenable ujawnili szczegóły obecnie załatanej już podatności eskalacji uprawnień w Google Cloud Platform (GCP) Cloud Run. Luka mogła pozwolić złośliwemu podmiotowi na dostęp do obrazów kontenerów, a nawet na wstrzyknięcie złośliwego kodu.

„Luka mogła umożliwić tożsamości nadużycie uprawnień do edycji wersji Google Cloud Run w celu pobrania prywatnych obrazów Google Artifact Registry i Google Container Registry na tym samym koncie” – informuje badaczka ds. bezpieczeństwa Tenable Liv Matan.

Tenable, czyli firma odpowiadająca za odkrycie podatności, nadała jej nazwę kodową ImageRunner. Po ustalonym z producentem ujawnieniu szczegółów problemu Google rozwiązało go 28 stycznia 2025 r. za pomocą łatki bezpieczeństwa.

Google Cloud Run to w pełni zarządzana usługa do wykonywania aplikacji kontenerowych w skalowalnym środowisku bezserwerowym. Gdy jest wykorzystana do uruchomienia danej aplikacji, obrazy kontenerów są pobierane z Artifact Registry (lub Docker Hub) w celu późniejszego wdrożenia poprzez określenie adresu URL obrazu.

Problem polega na tym, że istnieją pewne tożsamości, którym brakuje uprawnień do rejestru kontenerów, ale mają uprawnienia do edycji wersji Google Cloud Run. Za każdym razem, gdy usługa Cloud Run jest wdrażana lub aktualizowana, tworzona jest nowa wersja. A za każdym razem, gdy nowa wersja zostaje uruchomiona, konto agenta usługi jest używane do pobierania niezbędnych obrazów.

Jeśli atakujący uzyska określone uprawnienia w projekcie ofiary – konkretnie uprawnienia run.services.update i iam.serviceAccounts.actAs – może zmodyfikować usługę Cloud Run i wdrożyć nową wersję. Dzięki temu jest w stanie określić dowolny prywatny obraz kontenera w tym samym projekcie, który usługa ma pobrać.

Co więcej, atakujący może uzyskać dostęp do poufnych lub zastrzeżonych obrazów przechowywanych w rejestrach ofiary, a nawet wprowadzić złośliwe instrukcje, które po wykonaniu doprowadzą do eksfiltracji poufnych danych, a nawet otwarcia odwrotnej powłoki na maszynie pod jego kontrolą.

Poniżej znajduje się przykład pobrania obrazu ncat. Netcat (często w skrócie ncat) to potężne narzędzie sieciowe wiersza poleceń używane do tworzenia połączeń TCP/UDP, przesyłania danych, skanowania portów i działania jako podstawowy serwer lub klient do debugowania. Aby zilustrować atakującego używającego złośliwych instrukcji do przejęcia obrazu, jako wygodny przykład użyto obrazu, który obecny jest w Container Registry ofiary:

Źródło: tenable.com\blog

Poprawka wydana przez Google zapewnia, że obecnie użytkownik lub konto usługi tworzące bądź aktualizujące zasób Cloud Run posiada wyraźne uprawnienia dostępu do obrazów kontenerów. Podczas korzystania z Artifact Registry musimy teraz tylko upewnić się, że podmiot ma rolę IAM Artifact Registry Reader (roles/artifactregistry.reader) w projekcie lub repozytorium zawierającym obrazy kontenerów do wdrożenia.

Zespół Tenable scharakteryzował ImageRunner jako instancję tego, co nazywa Jengą (Jenga Concept). Wynika to z połączonej natury różnych usług w chmurze, co powoduje przekazywanie zagrożeń bezpieczeństwa.

„Dostawcy usług w chmurze budują swoje usługi na podstawie innych istniejących usług” – mówi Matan z Tenable. „Jeśli jedna usługa zostanie zaatakowana lub naruszona, inne usługi zbudowane na niej również przejmą ryzyko i staną się podatne na ataki”.

Ten scenariusz otwiera atakującym drzwi do odkrywania nowych możliwości eskalacji uprawnień czy podatności, i wprowadza nowe ukryte zagrożenia dla obrońców chmury.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...