Google Cloud Build 漏洞可使黑客发动供应链攻击

Sergiu Gatlan 代码卫士 2024-03-26

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

云安全公司 Orca Security 的研究人员从Google Cloud Build 服务中发现了一个严重的设计漏洞，可用于获得 Google Artifact Registry 代码仓库几乎完整的越权访问权限。

该漏洞被称为 “Bad.Build”，可使威胁行动者仿照 Google Cloud Build 管理持续集成和交付 (CI/CD) 服务的服务账户，针对部件注册表运行 API 调用并控制应用镜像。攻击者可注入恶意代码，在客户环境中部署恶意应用程序后，导致易受攻击的应用程序以及潜在的供应链攻击。

研究员 Roi Nisimi 提到，“潜在影响可能多种多样，且适用于将 Artifact Registry 作为首要或次要的镜像仓库。首要的影响是破坏依赖于这些镜像的应用程序，导致拒绝服务、数据盗取以及向用户传播恶意软件的后果。和 SolarWinds以及最近的3CX和 MOVEit 供应链攻击一样，该事件会产生深远影响。” Rhino 安全实验室也发现并报告了该漏洞。不过他们利用该提权漏洞的方法更为复杂，涉及使用 GCP API 以及提取 Cloud Build Service Account 访问令牌。

Orca Security 公司的方法是利用 cloudbuild.builds.create 许可提升权限并使攻击者通过 artifactregistry 许可篡改 Google Kubernetes Engine (GKE) docker 镜像，并以root 权限在 docker 容器中运行代码。

Orca Security 公司的研究员报告该问题后，谷歌安全团队执行了部分修复方案，从与 Artifact Registry 无关的默认 Cloud Build Service Account 中调用 logging.privateLogEntries.list 许可。

Nisimi 表示，“然而，谷歌的修复方案并未调用所发现的提权向量。它仅做了限制，将其转变为设计缺陷，但仍然导致组织机构易遭大型供应链风险。因此，组织机构密切关注Google Cloud Build 服务账户的默认行为十分重要。应用最小权限原则并执行云检测和响应能力来识别异常活动是降低风险的一些推荐措施。”

建议 Google Cloud Build 客户将 Cloud Build Service Account 的默认权限修改为与需求匹配并删除对抗最小权限原则的权限凭据，缓解提权风险。

4月份，谷歌还修复了一个 Google Cloud Platform (GCP) 安全漏洞 “GhostToken”，可使攻击者使用恶意 OAuth 应用在任意谷歌账户中安装后门。

谷歌回应称，“我们专为发现和修复类似漏洞创建了漏洞奖励计划，感谢Oracle 和更广泛安全社区参与这些计划。感谢研究人员所做的工作，我们已经在6月初发布的安全公告中基于他们的报告集成了修复方案。”

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

速修复MOVEit Transfer 中的这个新0day！

MOVEit 文件传输软件0day被用于窃取数据

MSI UEFI 签名密钥遭泄漏恐引发“灾难性”供应链攻击

OilRig APT 组织或在中东地区发动更多 IT 供应链攻击