Peneliti cybersecurity telah mengungkapkan rincian kerentanan eskalasi hak istimewa yang sekarang ditonton di cloud cloud Google Cloud Platform (GCP) yang dapat memungkinkan aktor jahat untuk mengakses gambar kontainer dan bahkan menyuntikkan kode berbahaya.
“Kerentanan dapat memungkinkan identitas semacam itu untuk menyalahgunakan izin edit revisi Google Cloud Run -nya untuk menarik Registry Artefak Google secara pribadi dan gambar registri kontainer Google di akun yang sama,” kata peneliti keamanan yang dapat dipertahankan Liv Matan dalam laporan yang dibagikan dengan berita peretas.
Kekurangan keamanan telah diberi nama sebagai imagerunner oleh perusahaan cybersecurity. Mengikuti pengungkapan yang bertanggung jawab, Google membahas masalah pada 28 Januari 2025.
Google Cloud Run adalah layanan yang dikelola sepenuhnya untuk menjalankan aplikasi yang dikemas dalam lingkungan yang dapat diskalakan dan tanpa server. Ketika teknologi digunakan untuk menjalankan layanan, gambar kontainer diambil dari Artefact Registry (atau Docker Hub) untuk penyebaran berikutnya dengan menentukan URL gambar.
Yang menjadi masalah adalah fakta bahwa ada identitas tertentu yang tidak memiliki izin pendaftaran kontainer tetapi telah mengedit izin pada revisi run cloud Google.
Setiap kali layanan Cloud Run digunakan atau diperbarui, versi baru dibuat. Dan setiap kali revisi Cloud Run digunakan, akun agen layanan digunakan untuk menarik gambar yang diperlukan.
“Jika penyerang mendapatkan izin tertentu dalam proyek korban – khususnya Run.services.update dan IAM.ServiceAccounts.Actas Izin – mereka dapat memodifikasi layanan Cloud Run dan menggunakan revisi baru,” jelas Matan. “Dengan melakukan itu, mereka dapat menentukan gambar kontainer pribadi dalam proyek yang sama untuk ditarik layanan.”
Terlebih lagi, penyerang dapat mengakses gambar yang sensitif atau berpemilik yang disimpan dalam pendaftar korban dan bahkan memperkenalkan instruksi jahat yang, ketika dieksekusi, dapat disalahgunakan untuk mengekstrak rahasia, mengekspiltrat data sensitif, atau bahkan membuka cangkang terbalik ke mesin di bawah kendali mereka.
Patch yang dirilis oleh Google sekarang memastikan bahwa akun pengguna atau layanan yang membuat atau memperbarui sumber daya cloud yang dijalankan memiliki izin eksplisit untuk mengakses gambar kontainer.
“Prinsipal (Akun Pengguna atau Layanan) Membuat atau memperbarui Sumber Daya Cloud yang dijalankan sekarang membutuhkan izin eksplisit untuk mengakses gambar kontainer,” kata raksasa teknologi itu dalam catatan rilisnya untuk Cloud Run pada Januari 2025.
“Saat menggunakan Artefact Registry, pastikan kepala sekolah memiliki peran pembaca Artefact Registry (Peran/Artifactregistry.Reader) pada proyek atau repositori yang berisi gambar kontainer untuk digunakan.”
Tenable telah mengkarakterisasi Imagerunner sebagai contoh dari apa yang disebut Jenga, yang muncul karena sifat yang saling berhubungan dari berbagai layanan cloud, menyebabkan risiko keamanan diteruskan.
“Penyedia cloud membangun layanan mereka di atas layanan mereka yang ada,” kata Matan. “Jika satu layanan diserang atau dikompromikan, yang lain dibangun di atasnya mewarisi risiko dan menjadi rentan juga.”
“Skenario ini membuka pintu bagi penyerang untuk menemukan peluang eskalasi hak istimewa baru dan bahkan kerentanan, dan memperkenalkan risiko tersembunyi baru bagi para pembela.”
Pengungkapan datang beberapa minggu setelah praetorian merinci beberapa cara kepala prinsip yang lebih rendah dapat menyalahgunakan mesin virtual Azure (VM) untuk mendapatkan kendali atas langganan Azure –
- Jalankan perintah pada VM Azure yang terkait dengan identitas yang dikelola administratif
- Masuk ke VM Azure yang terkait dengan identitas yang dikelola administratif
- Lampirkan identitas terkelola yang ditetapkan pengguna administratif ke Azure VM yang ada dan jalankan perintah dalam VM itu
- Buat Azure VM baru, lampirkan identitas yang dikelola administratif yang ada, dan jalankan perintah dalam VM itu dengan menggunakan tindakan bidang data
“Setelah mendapatkan peran pemilik untuk berlangganan, penyerang mungkin dapat memanfaatkan kontrol luas mereka atas semua sumber daya berlangganan untuk menemukan jalur eskalasi hak istimewa ke penyewa Entra ID,” kata peneliti keamanan Andrew Chang dan Elgin Lee.
“Jalur ini didasarkan pada sumber daya komputasi dalam berlangganan korban dengan kepala sekolah dengan izin ID entra yang memungkinkannya untuk meningkatkan dirinya ke administrator global.”
