Los investigadores de seguridad cibernética han revelado detalles de una vulnerabilidad de ascenso de privilegios ahora empatada en Google Cloud Platform (GCP) Cloud Run que podría suceder permitido a un actor sagaz penetrar a imágenes de contenedores e incluso inyectar código sagaz.
“La vulnerabilidad podría suceder permitido que tal identidad abusara de sus permisos de tiraje de revisión de Google Cloud Run para extraer el registro privado de Google Artifact y las imágenes del Registro de Contenedores de Google en la misma cuenta”, dijo el investigador de seguridad tenable Liv Matan en un crónica compartido con las telediario de Hacker.
La deficiencia de seguridad ha sido con nombre en código Imagerunner por la compañía de seguridad cibernética. A posteriori de la divulgación responsable, Google abordó el problema al 28 de enero de 2025.
Google Cloud Run es un servicio totalmente administrado para ejecutar aplicaciones contenedores en un entorno escalable sin servidor. Cuando la tecnología se utiliza para ejecutar un servicio, las imágenes de contenedores se recuperan del registro de artefactos (o Docker Hub) para la implementación posterior especificando la URL de la imagen.
En el problema es el hecho de que hay ciertas identidades que carecen de permisos de registro de contenedores, pero que tienen permisos de tiraje en las revisiones de Google Cloud.
Cada vez que se implementa o actualiza un servicio de ejecución en la montón, se crea una nueva lectura. Y cada vez que se implementa una revisión de Cloud Run, se utiliza una cuenta de agente de servicio para extraer las imágenes necesarias.
“Si un atacante obtiene ciertos permisos adentro del tesina de una víctima, específicamente run.services.update e iam.serviceAccounts.actas permisos, podrían modificar un servicio de ejecución en la montón e implementar una nueva revisión”, explicó Matan. “Al hacerlo, podrían especificar cualquier imagen de contenedor privado adentro del mismo tesina para que el servicio se tire”.
Encima, el atacante podría penetrar a imágenes confidenciales o patentadas almacenadas en los registros de una víctima e incluso introducir instrucciones maliciosas que, cuando se ejecutan, podrían atropellar para extraer secretos, exfiltrarse de datos confidenciales o incluso desplegar una carcasa inversa a una máquina bajo su control.
El parche publicado por Google Now garantiza que el agraciado o cuenta de servicio que crea o actualiza un procedimiento en la montón tiene un permiso patente para penetrar a las imágenes del contenedor.
“El principal (cuenta de agraciado o de servicio) que crea o actualiza un procedimiento de ejecución en la montón ahora necesita un permiso patente para penetrar a las imágenes del contenedor”, dijo el hércules tecnológico en sus notas de comunicación para la ejecución de la montón en enero de 2025.
“Al utilizar el registro de artefactos, asegúrese de que el director tenga el disertador de registro de artefactos (roles/artifacTregistry.reader) IAM papel en el tesina o repositorio que contiene las imágenes del contenedor para implementar”.
Tenable ha caracterizado a Imagerunner como una instancia de lo que pira Jenga, que surge adecuado a la naturaleza interconectada de varios servicios en la montón, lo que provoca que se transfieran los riesgos de seguridad.
“Los proveedores de la montón crean sus servicios encima de sus otros servicios existentes”, dijo Matan. “Si un servicio es atacado o se ve comprometido, los otros construidos sobre él heredan el aventura y asimismo se vuelven vulnerables”.
“Este tablado abre la puerta a los atacantes para descubrir nuevas oportunidades de ascenso de privilegios e incluso vulnerabilidades, e introduce nuevos riesgos ocultos para los defensores”.
La divulgación se produce semanas a posteriori de que Praetorian detalló varias formas en que un director de beocio privilegio puede atropellar de una máquina supuesto (VM) de Azure para obtener control sobre una suscripción de Azure,
- Ejecutar comandos en una VM Azure asociada con una identidad administrada administrada
- Inicie sesión en una VM Azure asociada con una identidad administrada administrativa
- Adjunte una identidad administrada administrada por el agraciado administrativa existente a una VM Azure existente y ejecute comandos en esa VM
- Cree una nueva VM Azure, adjunte una identidad administrada administrada existente y ejecute comandos en esa VM utilizando acciones de plano de datos
“A posteriori de obtener el rol del propietario para una suscripción, un atacante puede explotar su amplio control sobre todos los fortuna de suscripción para encontrar una ruta de ascenso de privilegios en torno a el inquilino Entra Id”, dijeron los investigadores de seguridad Andrew Chang y Elgin Lee.
“Esta ruta se apoyo en un procedimiento de cuenta en la suscripción de la víctima con un principal de servicio con permisos de ID de Entra que puede permitirle progresar al administrador general”.
