Vulnerabilidad en Bad.Build de Google Cloud Build podría conducir a la escalada de privilegios

Expertos en ciberseguridad han descubierto una vulnerabilidad de escalada de privilegios en Google Cloud que podría permitir que actores maliciosos manipulen las imágenes de aplicaciones e infecten a los usuarios, dando lugar a ataques en la cadena de suministro.

La vulnerabilidad, llamada Bad.Build, se encuentra en el servicio Google Cloud Build, según la empresa de seguridad en la nube Orca, que fue quien descubrió y reportó el problema.

«Al explotar esta falla y permitir una suplantación del servicio predeterminado de Cloud Build, los atacantes pueden manipular las imágenes en el Google Artifact Registry e introducir código malicioso», indicó la compañía en un comunicado.

«Cualquier aplicación creada a partir de las imágenes manipuladas se verá afectada y, si las aplicaciones defectuosas están destinadas a ser desplegadas en los entornos de los clientes, el riesgo se extiende desde el entorno de la organización proveedora hasta los entornos de los clientes, representando un riesgo importante para la cadena de suministro.»

Después de una divulgación responsable, Google emitió una solución parcial que no elimina el vector de escalada de privilegios, describiéndolo como un problema de baja gravedad. No se requiere ninguna acción adicional por parte de los clientes.

El problema de diseño se origina en el hecho de que Cloud Build crea automáticamente una cuenta de servicio predeterminada para ejecutar compilaciones en nombre de los usuarios. Específicamente, esta cuenta de servicio tiene permisos excesivos («logging.privateLogEntries.list»), lo que permite el acceso a los registros de auditoría que contienen la lista completa de todos los permisos en el proyecto.

«Lo que hace que esta información sea tan valiosa es que facilita en gran medida el movimiento lateral y la escalada de privilegios en el entorno. Conocer qué cuenta de GCP puede llevar a cabo qué acción es equivalente a resolver una gran parte del rompecabezas sobre cómo lanzar un ataque», explicó el investigador de Orca, Roi Nisimi.

Al hacerlo, un actor malicioso podría explotar el permiso «cloudbuild.builds.create» ya obtenido de otras maneras para suplantar la cuenta de servicio de Google Cloud Build y obtener privilegios más elevados, extraer una imagen que se esté utilizando en Google Kubernetes Engine (GKE) y modificarla para incluir software malicioso.

«Nisimi explicó que una vez que se implementa la imagen maliciosa, el atacante puede aprovecharla y ejecutar código en el contenedor Docker con privilegios de root».

Google implementó un parche que revoca el permiso «logging.privateLogEntries.list» de la cuenta de servicio de Cloud Build, evitando así el acceso para enumerar registros privados de forma predeterminada.

No es la primera vez que se reportan fallos de escalada de privilegios que afectan a la Plataforma de Google Cloud. En 2020, se detallaron diversas técnicas que podrían ser aprovechadas para comprometer entornos en la nube por parte de Gitlab, Rhino Security Labs y Praetorian.

Se recomienda a los clientes vigilar el comportamiento de la cuenta de servicio predeterminada de Google Cloud Build para detectar cualquier comportamiento malicioso posible, así como aplicar el principio de menor privilegio (PoLP) para reducir los posibles riesgos.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *