• Votre panier est vide.

  • LOGIN

Une vulnérabilité de Google Cloud Build faciliterait les attaques de la chaîne d’approvisionnement


Certains articles de veille peuvent faire l'objet de traduction automatique.


Les chercheurs ont découvert une vulnérabilité critique dans Google Cloud Build qui accordait des privilèges élevés à des utilisateurs non autorisés. Un adversaire pourrait exploiter le défaut de conception pour diverses activités malveillantes, y compris des attaques de la chaîne d’approvisionnement.

Vulnérabilité de Google Cloud Build

Différentes entreprises de sécurité ont analysé et découvert un grave défaut de conception dans le service Google Cloud Build. Plus précisément, ils ont découvert une vulnérabilité d’escalade de privilèges dans Google Cloud Build qui permettait un accès explicite à un adversaire non autorisé.

Google Cloud Build est le service CI/CD de Google qui aide les utilisateurs à automatiser la création, les tests et le déploiement de logiciels dans toutes les langues. Il prend également en charge l’intégration avec d’autres services Google Cloud, tels qu’App Engine et Kubernetes Engine.

RhinoSecurity Labs a décrit séparément la vulnérabilité affectant Google Cloud Platform (GCP) dans un rapport. (Publié en deux parties, le rapport met également en évidence une escalade similaire des privilèges Identity & Access Management (IAM) dans Amazon Web Services (AWS).)

Leurs chercheurs ont observé qu’un adversaire pourrait exploiter le problème dans un Cloud Build spécifique pour obtenir des privilèges élevés et un accès explicite au serveur de build. L’attaquant peut utiliser des informations d’identification GCP compromises pour obtenir les autorisations souhaitées.

Ensuite, une fois le code exécuté à distance sur le serveur de build cible, l’attaquant peut trouver et abuser du jeton d’accès au compte de service Cloud Build mis en cache localement sur le serveur. Plus tard, l’utilisation de ce jeton d’accès permet à l’attaquant d’obtenir des privilèges plus élevés.

Après avoir découvert la vulnérabilité, Rhino Security Labs a divulgué l’affaire à Google de manière responsable. Cependant, le géant de la technologie n’a pas considéré cela comme une faille de sécurité.

Pendant ce temps, une autre société de sécurité, Orca Security, a également découvert le même problème et pourrait exploiter la vulnérabilité plus rapidement. Leurs chercheurs ont expliqué les détails de cette vulnérabilité, qu’ils appellent « Bad.Build », dans un article séparé. poste.

Ils ont trouvé la faille trivialement exploitable car un adversaire pourrait manipuler de manière malveillante les images d’application, induisant une attaque de la chaîne d’approvisionnement similaire aux incidents de sécurité de SolarWinds et 3CX.

Google a assuré le correctif de la vulnérabilité

Suite à cette découverte, Orca Security a également contacté Google, qui a reconnu le problème et déployé un correctif partiel. Cependant, comme la faille restait exploitable, les chercheurs ont exhorté toutes les organisations à surveiller le compte de service Google Cloud Build pour détecter tout comportement malveillant, à déployer le principe du moindre privilège et à mettre en œuvre des capacités de détection et de réponse dans le cloud.

Néanmoins, selon une récente déclaration de Google (telle que fournie à Bleeping Computer), le géant de la technologie a corrigé la vulnérabilité.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

juillet 21, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)