谷歌云构建漏洞轻易引发潜在的供应链攻击
发布时间:2023-08-05 14:04:08 所属栏目:安全 来源:
导读:在 Google Cloud Build 的服务中发现了重要设计缺陷,这是由云安全公司 Orca Security 所发现的,该漏洞会让攻击者的权限升级,使他们可以在未经授权的情况下访问谷歌构件注册表(Google Artifact Registry)代码库。
|
在 Google Cloud Build 的服务中发现了重要设计缺陷,这是由云安全公司 Orca Security 所发现的,该漏洞会让攻击者的权限升级,使他们可以在未经授权的情况下访问谷歌构件注册表(Google Artifact Registry)代码库。 该漏洞被称为 "Bad.Build",可使威胁者冒充谷歌云构建管理的服务账户,针对构件注册表进行 API 调用,并控制应用程序映像。 这样,他们就可以注入恶意代码,从而在客户环境中部署恶意软件,导致潜在的供应链攻击。 Orca安全研究员Roi Nisimi表示:潜在的威胁可能是多种多样的,所有使用构件注册中心作为主要或次要镜像库的组织都应该警惕。 最直接的影响是破坏依赖于这些镜像的应用程序。这也可能导致 DOS、数据窃取和向用户传播恶意软件。正如我们在 SolarWinds 以及最近的 3CX 和 MOVEit 供应链攻击中所看到的那样,这可能会产生深远的影响。 Orca Security的攻击利用了cloudbuild.builds.create来升级权限, 通过授予artifact registry的permission令攻击者可修改Google Kubernetes engine (GKE) 的Docker影象并获取root凭据以在Docker容器中执行脚本。 在 Orca Security 报告该问题后,谷歌安全团队实施了部分修复措施,撤销了默认云构建服务账户中与构件注册表无关的 logging.privateLogEntries.list 权限。 但是,这一措施并不能直接解决Artifact Registry中的底层漏洞,权限升级和供应链攻击风险依然存在。 因此,企业必须密切关注谷歌云构建服务账户的行为。应用 "最小特权原则"(Principle of Least Privilege)和实施云检测与响应功能来识别异常从而降低风险。我们认为,这一进程应该继续下去,直到所有国家都能参与为止。 (编辑:聊城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐
