Les chercheurs en cybersécurité ont découvert une vulnérabilité d’escalade de privilèges dans Google Cloud qui pourrait permettre à des acteurs malveillants de falsifier les images d’application et d’infecter les utilisateurs, entraînant des attaques de la chaîne d’approvisionnement.
Le problème, surnommé Bad.Buildest ancré dans le service Google Cloud Build, selon la société de sécurité cloud Orca, qui a découvert et signalé le problème.
« En abusant de la faille et en permettant une usurpation d’identité du service Cloud Build par défaut, les attaquants peuvent manipuler des images dans Google Artifact Registry et injecter du code malveillant », a déclaré la société dans un communiqué partagé avec The Hacker News.
« Toutes les applications construites à partir des images manipulées sont alors affectées et, si les applications malformées sont destinées à être déployées sur les environnements des clients, le risque passe de l’environnement de l’organisation fournisseur aux environnements de leurs clients, constituant un risque majeur pour la chaîne d’approvisionnement. »
Suite à une divulgation responsable, Google a publié un correctif partiel qui n’élimine pas le vecteur d’escalade de privilèges, le décrivant comme un problème de faible gravité. Aucune autre action du client n’est requise.
Le défaut de conception provient du fait que Cloud Build crée automatiquement un compte de service par défaut pour exécuter les compilations d’un projet au nom des utilisateurs. Plus précisément, le compte de service est fourni avec des autorisations excessives (« logging.privateLogEntries.list »), ce qui permet d’accéder aux journaux d’audit contenant la liste complète de toutes les autorisations sur le projet.
« Ce qui rend ces informations si lucratives, c’est qu’elles facilitent grandement les déplacements latéraux et l’escalade des privilèges dans l’environnement », a déclaré Roi Nisimi, chercheur chez Orca. « Savoir quel compte GCP peut effectuer quelle action équivaut à résoudre une grande pièce du puzzle sur la façon de lancer une attaque. »
Ce faisant, un acteur malveillant pourrait abuser de l’autorisation « cloudbuild.builds.create » déjà obtenue par d’autres moyens pour usurper l’identité du compte de service Google Cloud Build et obtenir des privilèges élevés, exfiltrer une image qui est utilisée dans Google Kubernetes Engine (GKE) , et modifiez-le pour incorporer des logiciels malveillants.
« Une fois l’image malveillante déployée, l’attaquant peut l’exploiter et exécuter du code sur le conteneur Docker en tant que root », a expliqué Nisimi.
Le correctif mis en place par Google révoque l’autorisation logging.privateLogEntries.list du compte de service Cloud Build, empêchant ainsi l’accès pour énumérer les journaux privés par défaut.
Ce n’est pas la première fois que des failles d’élévation de privilèges affectant Google Cloud Platform sont signalées. En 2020, Gitlab, Rhino Security Labs et Praetorian ont détaillé diverses techniques qui pourraient être exploitées pour compromettre les environnements cloud.
Il est conseillé aux clients de surveiller le comportement du compte de service Google Cloud Build par défaut afin de détecter tout comportement malveillant éventuel et d’appliquer le principe du moindre privilège (PoLP) pour atténuer les risques éventuels.
