Bad.Build Flaw di Google Cloud Build Menimbulkan Kekhawatiran akan Peningkatan Hak Istimewa
19 Juli 2023NewsroomKeamanan / Kerentanan Cloud
Peneliti keamanan siber telah menemukan kerentanan peningkatan hak istimewa di Google Cloud yang dapat memungkinkan pelaku jahat merusak gambar aplikasi dan menginfeksi pengguna, sehingga menyebabkan serangan rantai pasokan.
Masalahnya, di-dubbing Buruk.Bangunberakar pada layanan Google Cloud Build, menurut perusahaan keamanan cloud Orca, yang menemukan dan melaporkan masalah tersebut.
“Dengan menyalahgunakan kelemahan tersebut dan memungkinkan peniruan identitas layanan Cloud Build default, penyerang dapat memanipulasi gambar di Google Artifact Registry dan menyuntikkan kode berbahaya,” kata perusahaan itu dalam sebuah pernyataan yang dibagikan kepada The Hacker News.
“Aplikasi apa pun yang dibangun dari gambar yang dimanipulasi kemudian akan terpengaruh dan, jika aplikasi yang salah formatnya dimaksudkan untuk diterapkan di lingkungan pelanggan, risikonya berpindah dari lingkungan organisasi pemasok ke lingkungan pelanggannya, sehingga merupakan risiko rantai pasokan yang besar.”
Setelah pengungkapan yang bertanggung jawab, Google telah mengeluarkan perbaikan parsial yang tidak menghilangkan vektor peningkatan hak istimewa, dan menggambarkannya sebagai masalah dengan tingkat keparahan rendah. Tidak diperlukan tindakan pelanggan lebih lanjut.
“Kami membuat Program Vulnerability Rewards khusus untuk mengidentifikasi dan memperbaiki kerentanan seperti ini. Kami menghargai Orca dan partisipasi komunitas keamanan yang lebih luas dalam program ini. Kami menghargai kerja para peneliti dan telah memasukkan perbaikan berdasarkan laporan mereka sebagaimana diuraikan dalam buletin keamanan yang dikeluarkan pada awal Juni.” kata juru bicara Google kepada The Hacker News.
Cacat desain berasal dari fakta bahwa Cloud Build secara otomatis membuat akun layanan default untuk mengeksekusi build proyek atas nama pengguna. Secara khusus, akun layanan dilengkapi dengan izin berlebihan (“logging.privateLogEntries.list”), yang memungkinkan akses ke log audit yang berisi daftar lengkap semua izin pada proyek.
“Apa yang membuat informasi ini sangat menguntungkan adalah karena sangat memfasilitasi pergerakan lateral dan peningkatan hak istimewa di lingkungan,” kata peneliti Orca, Roi Nisimi. “Mengetahui akun GCP mana yang dapat melakukan tindakan tertentu sama dengan memecahkan sebagian besar teka-teki tentang cara melancarkan serangan.”
Dengan melakukan hal ini, pelaku kejahatan dapat menyalahgunakan izin “cloudbuild.builds.create” yang telah diperoleh dengan cara lain untuk meniru akun layanan Google Cloud Build dan mendapatkan hak istimewa yang lebih tinggi, mengekstrak gambar yang digunakan di dalam Google Kubernetes Engine (GKE) , dan mengubahnya untuk memasukkan malware.
“Setelah gambar berbahaya disebarkan, penyerang dapat mengeksploitasinya dan menjalankan kode pada wadah buruh pelabuhan sebagai root,” jelas Nisimi.
Patch yang diterapkan oleh Google mencabut izin logging.privateLogEntries.list dari akun layanan Cloud Build, sehingga mencegah akses untuk menghitung log pribadi secara default.
Ini bukan pertama kalinya dilaporkan adanya kelemahan eskalasi hak istimewa yang berdampak pada Google Cloud Platform. Pada tahun 2020, Gitlab, Rhino Security Labs, dan Praetorian merinci berbagai teknik yang dapat dieksploitasi untuk menyusupi lingkungan cloud.
Pelanggan disarankan untuk memantau perilaku akun layanan Google Cloud Build default untuk mendeteksi kemungkinan perilaku berbahaya serta menerapkan prinsip hak istimewa paling rendah (PoLP) untuk memitigasi risiko yang mungkin terjadi.
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
