محققان امنیت سایبری Orca Security باگ جدیدی را در سرویس Google Cloud Build کشف کردهاند که میتواند به عوامل تهدید امکان دسترسی تقریباً کامل به مخازن کد رجیستری Google Artifact را بدهد. محققان در گزارش خود می گویند که عواقب این نقص بسیار وخیم است.
محققان این آسیبپذیری را Bad.Build نامیدند و گفتند که این آسیبپذیری به عوامل تهدید اجازه میدهد تا هویت حساب سرویس سرویس یکپارچهسازی و تحویل مداوم Google Cloud Build (CI/CD) را جعل کنند. این به نوبه خود به آنها اجازه می دهد تا فراخوانی های API را علیه رجیستری مصنوع اجرا کنند و به طور موثر کنترل تصاویر برنامه را در دست بگیرند.
با اعطای کنترل کامل، مهاجمان می توانند به افزودن کدهای مخرب ادامه دهند و در تئوری زنجیره های تامین مختلف را مختل کرده و به نقاط پایانی بی شماری دست یابند.
یک شرکت امنیتی جداگانه به نام Rhino Security Lab نیز با همین آسیبپذیری مواجه شد، اما با بهرهبرداری تا حدودی پیچیدهتر. روش Rhino شامل استفاده از GCP API و توکنهای دسترسی به حساب سرویس ساخت ابری است.
از سوی دیگر، Orca، از مجوزهای cloudbuilds.builds.create برای به دست آوردن امتیازات بالا سوء استفاده میکند و به عوامل تهدید اجازه میدهد تا تصاویر داکر موتور Google Kubernetes (GKE) را تغییر دهند، که اساسا کد را در داخل محفظه docker اجرا میکنند.
تحلیل: چرا مهم است؟
با سوء استفاده از Bad.Build، عوامل تهدید می توانند حملات به اصطلاح “زنجیره تامین” را اجرا کنند. با استفاده از این نقص، هکرها و سایر مجرمان سایبری میتوانند بدافزار را به تصاویر برنامهها تزریق کنند که بعداً توسط سازمانهای مختلف در شبکهها و نقاط پایانی متعدد استفاده میشود. این بدافزار میتواند برای انواع فعالیتهای مخرب، از سرقت دادههای حساس، تا استقرار باجافزار، و از نصب cryptominers تا اجرای حملات Denial of Service (DoS) استفاده شود.
علاوه بر این، اگر برنامه های مخرب در نهایت در محل یا در یک محیط نیمه SaaS مستقر شوند، مشتریان سازمان قربانی نیز می توانند در معرض خطر قرار گیرند، برخلاف آنچه برای SolarWinds رخ داد. برای اطمینان از اینکه سازمان شما در نهایت به خطر نمی افتد، توصیه های Orca را دنبال کنید، که شامل توجه دقیق به رفتار حساب پیش فرض سرویس Google Cloud Build است.
این شرکت میگوید: «بهکارگیری اصل کمترین امتیاز و پیادهسازی قابلیتهای تشخیص و پاسخ ابری برای شناسایی ناهنجاریها، برخی از توصیهها برای کاهش ریسک است.» این شامل رعایت کمترین امتیاز، اولویت دادن به خطراتی است که دارایی های مهم تجاری شما را به خطر می اندازد، و استفاده از Cloud Detection & Response برای شناسایی ناهنجاری های خطرناک.
دیگران در مورد نقص چه گفته اند؟
بلافاصله پس از کشف این نقص، گوگل با رسانه ها تماس گرفت و از Orca برای تلاش آنها در کشف این نقص تشکر کرد: “ما برنامه پاداش آسیب پذیری خود را به طور خاص برای شناسایی و رفع آسیب پذیری هایی مانند این ایجاد کردیم. سخنگوی گوگل گفت: ما از مشارکت Orca و جامعه امنیتی گسترده تر در این برنامه ها قدردانی می کنیم. “ما از کار محققان قدردانی می کنیم و بر اساس گزارش آنها همانطور که در بولتن امنیتی منتشر شده در اوایل ژوئن مشخص شده است، اصلاحیه ای را وارد کرده ایم.”
اصلاحی که قبلاً صادر شده است قطعاً خبر خوبی است، زیرا پتانسیل مخرب Bad.Build بسیار گسترده است. روی نیمیمی، محقق امنیتی Orca، درباره این یافتهها، این تأثیر را «متنوع» توصیف کرد: «تأثیر بالقوه میتواند متنوع باشد و برای همه سازمانهایی که از ثبت آرتیفکت بهعنوان مخزن اصلی یا ثانویه تصویر خود استفاده میکنند، اعمال میشود». “اولین و فوری تاثیر مختل کردن برنامه های مبتنی بر این تصاویر است. این می تواند منجر به DOS، سرقت داده ها و انتشار بدافزار به کاربران شود.” همانطور که با SolarWinds و حملات اخیر زنجیره تامین 3CX و MOVEit دیدیم، این می تواند عواقب بسیار گسترده ای دارد.”
BleepingComputer در نگارش خود گفت که رفع مشکل Google Security Team در ابتدا جزئی بود و مجوز logging.privateLogEntries.list را از حساب پیشفرض Cloud Build Service لغو کرد که به رجیستری Artifact مرتبط نبود.
این نشریه میگوید: «توجه به این نکته مهم است که این اقدام مستقیماً به آسیبپذیری زیربنایی در رجیستری مصنوعات رسیدگی نکرده است و بردار افزایش امتیاز و خطر حمله زنجیره تأمین را دست نخورده باقی میگذارد.
Nisimi افزود: “با این حال، اصلاح Google بردار افزایش امتیاز (PE) کشف شده را لغو نمی کند. بلکه فقط آن را محدود می کند – آن را به یک نقص طراحی تبدیل می کند که همچنان سازمان ها را در برابر ریسک زنجیره تامین بزرگتر آسیب پذیر می کند.” بنابراین مهم است که سازمانها به رفتار حساب پیشفرض سرویس Google Cloud Build توجه زیادی داشته باشند. اعمال اصل کمترین امتیاز و پیادهسازی قابلیتهای تشخیص و پاسخ ابری برای شناسایی ناهنجاریها، برخی از توصیهها برای کاهش ریسک است.
نیمیمی در گفتگو با تحریریه TechTarget گفت که این نقص حتی با کاهش جزئی هنوز کاملاً قابل استفاده است. “شما می توانید به آن به عنوان چیزی نگاه کنید که احتمالاً هرگز لغو نخواهد شد، زیرا در طراحی آن قرار دارد [GCP]او گفت: “آنها تصمیم گرفتند آن را لغو نکنند، بنابراین این یک خطر در داخل پلت فرم است که برای همیشه در آنجا باقی می ماند و فرصت و امتیازی را برای مهاجمان ایجاد می کند تا امتیازات را افزایش دهند.”
Google به مشتریان خود گفته است که مجوزهای پیشفرض حساب سرویس Cloud Bild را تغییر دهند و اعتبارنامههای حق را که با اصل کمترین امتیاز (PoLP) مطابقت ندارد، حذف کنند.
عمیق تر برو
اگر میخواهید بیشتر بدانید، با یادگیری Google Cloud Storage و راهنمای عمیق ما در مورد بهترین خدمات رایانش ابری در اطراف شروع کنید. همچنین، بهترین راهنمای خدمات حفاظت نقطه پایانی ما و همچنین لیست بهترین نرم افزارهای حذف بدافزار امروزی را بخوانید.
آخرین دیدگاهها