查看原文
其他

Google Cloud Build 漏洞可使黑客发动供应链攻击

Sergiu Gatlan 代码卫士 2024-03-26

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。


随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。


为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。


注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。


云安全公司 Orca Security 的研究人员从Google Cloud Build 服务中发现了一个严重的设计漏洞,可用于获得 Google Artifact Registry 代码仓库几乎完整的越权访问权限。

该漏洞被称为 “Bad.Build”,可使威胁行动者仿照 Google Cloud Build 管理持续集成和交付 (CI/CD) 服务的服务账户,针对部件注册表运行 API 调用并控制应用镜像。攻击者可注入恶意代码,在客户环境中部署恶意应用程序后,导致易受攻击的应用程序以及潜在的供应链攻击。

研究员 Roi Nisimi 提到,“潜在影响可能多种多样,且适用于将 Artifact Registry 作为首要或次要的镜像仓库。首要的影响是破坏依赖于这些镜像的应用程序,导致拒绝服务、数据盗取以及向用户传播恶意软件的后果。和 SolarWinds以及最近的3CX和 MOVEit 供应链攻击一样,该事件会产生深远影响。” Rhino 安全实验室也发现并报告了该漏洞。不过他们利用该提权漏洞的方法更为复杂,涉及使用 GCP API 以及提取 Cloud Build Service Account 访问令牌。

Orca Security 公司的方法是利用 cloudbuild.builds.create 许可提升权限并使攻击者通过 artifactregistry 许可篡改 Google Kubernetes Engine (GKE) docker 镜像,并以root 权限在 docker 容器中运行代码。

Orca Security 公司的研究员报告该问题后,谷歌安全团队执行了部分修复方案,从与 Artifact Registry 无关的默认 Cloud Build Service Account 中调用 logging.privateLogEntries.list 许可。

Nisimi 表示,“然而,谷歌的修复方案并未调用所发现的提权向量。它仅做了限制,将其转变为设计缺陷,但仍然导致组织机构易遭大型供应链风险。因此,组织机构密切关注Google Cloud Build 服务账户的默认行为十分重要。应用最小权限原则并执行云检测和响应能力来识别异常活动是降低风险的一些推荐措施。”

建议 Google Cloud Build 客户将 Cloud Build Service Account 的默认权限修改为与需求匹配并删除对抗最小权限原则的权限凭据,缓解提权风险。

4月份,谷歌还修复了一个 Google Cloud Platform (GCP) 安全漏洞 “GhostToken”,可使攻击者使用恶意 OAuth 应用在任意谷歌账户中安装后门。

谷歌回应称,“我们专为发现和修复类似漏洞创建了漏洞奖励计划,感谢Oracle 和更广泛安全社区参与这些计划。感谢研究人员所做的工作,我们已经在6月初发布的安全公告中基于他们的报告集成了修复方案。”


代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

速修复MOVEit Transfer 中的这个新0day!

MOVEit 文件传输软件0day被用于窃取数据

MSI UEFI 签名密钥遭泄漏 恐引发“灾难性”供应链攻击

OilRig APT 组织或在中东地区发动更多 IT 供应链攻击

“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响



原文链接

https://www.bleepingcomputer.com/news/security/google-cloud-build-bug-lets-hackers-launch-supply-chain-attacks/


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存