Los investigadores descubrieron una vulnerabilidad crítica en Google Cloud Build que otorgaba privilegios elevados a usuarios no autorizados. Un adversario podría explotar la falla de diseño para varias actividades maliciosas, incluidos los ataques a la cadena de suministro.
Vulnerabilidad de Google Cloud Build
Diferentes empresas de seguridad han analizado y descubierto una grave falla de diseño en el servicio Google Cloud Build. Específicamente, descubrieron una vulnerabilidad de escalada de privilegios en Google Cloud Build que permitía el acceso explícito a un adversario no autorizado.
Google Cloud Build es el servicio de CI/CD de Google que ayuda a los usuarios a automatizar la creación, prueba e implementación de software en cualquier idioma. También admite la integración con otros servicios de Google Cloud, como App Engine y Kubernetes Engine.
RhinoSecurity Labs describió por separado la vulnerabilidad que afecta a Google Cloud Platform (GCP) en un informe. (Publicado en dos partes, el informe también destaca una escalada similar de privilegios de administración de acceso e identidad (IAM) en Amazon Web Services (AWS).)
Sus investigadores observaron que un adversario podría explotar el problema en un Cloud Build específico para obtener privilegios elevados y acceso explícito al servidor de compilación. El atacante puede usar credenciales de GCP comprometidas para obtener los permisos deseados.
Luego, una vez que el código se ejecuta de forma remota en el servidor de compilación de destino, el atacante puede encontrar y abusar del token de acceso a la cuenta del servicio Cloud Build almacenado en caché localmente en el servidor. Posteriormente, el uso de este token de acceso permite al atacante obtener mayores privilegios.
Después de descubrir la vulnerabilidad, Rhino Security Labs informó responsablemente el asunto a Google. Sin embargo, el gigante tecnológico no consideró esto como una falla de seguridad.
Mientras tanto, otra empresa de seguridad, Orca Security, también descubrió el mismo problema y es posible que pueda explotar la vulnerabilidad más rápido. Sus investigadores explicaron los detalles de esta vulnerabilidad, a la que llaman «Bad.Build», en un artículo separado.
Descubrieron que la falla era trivialmente explotable porque un adversario podría manipular maliciosamente las imágenes de la aplicación, induciendo un ataque a la cadena de suministro similar a los incidentes de seguridad de SolarWinds y 3CX.
Google ha solucionado la vulnerabilidad.
Tras este descubrimiento, Orca Security también se puso en contacto con Google, que reconoció el problema e implementó una solución parcial. Sin embargo, dado que la falla seguía siendo explotable, los investigadores instaron a todas las organizaciones a monitorear la cuenta del servicio Google Cloud Build para detectar comportamientos maliciosos, implementar el principio de privilegio mínimo e implementar capacidades de detección y respuesta en la nube.
Sin embargo, según una declaración reciente de Google (proporcionada a Bleeping Computer), el gigante tecnológico ha reparado la vulnerabilidad.
Háganos saber sus pensamientos en los comentarios.