Los investigadores de seguridad cibernética han revelado detalles de una vulnerabilidad de subida de privilegios ahora empatada en Google Cloud Platform (GCP) Cloud Run que podría activo permitido a un actor solapado penetrar a imágenes de contenedores e incluso inyectar código solapado.
«La vulnerabilidad podría activo permitido que tal identidad abusara de sus permisos de tirada de revisión de Google Cloud Run para extraer el registro privado de Google Artifact y las imágenes del Registro de Contenedores de Google en la misma cuenta», dijo el investigador de seguridad tenable Liv Matan en un referencia compartido con las parte de Hacker.
La deficiencia de seguridad ha sido con nombre en código Imagerunner por la compañía de seguridad cibernética. Posteriormente de la divulgación responsable, Google abordó el problema al 28 de enero de 2025.
Google Cloud Run es un servicio totalmente administrado para ejecutar aplicaciones contenedores en un entorno escalable sin servidor. Cuando la tecnología se utiliza para ejecutar un servicio, las imágenes de contenedores se recuperan del registro de artefactos (o Docker Hub) para la implementación posterior especificando la URL de la imagen.
En el problema es el hecho de que hay ciertas identidades que carecen de permisos de registro de contenedores, pero que tienen permisos de tirada en las revisiones de Google Cloud.
Cada vez que se implementa o actualiza un servicio de ejecución en la nimbo, se crea una nueva interpretación. Y cada vez que se implementa una revisión de Cloud Run, se utiliza una cuenta de agente de servicio para extraer las imágenes necesarias.
«Si un atacante obtiene ciertos permisos interiormente del plan de una víctima, específicamente run.services.update e iam.serviceAccounts.actas permisos, podrían modificar un servicio de ejecución en la nimbo e implementar una nueva revisión», explicó Matan. «Al hacerlo, podrían especificar cualquier imagen de contenedor privado interiormente del mismo plan para que el servicio se tire».
Adicionalmente, el atacante podría penetrar a imágenes confidenciales o patentadas almacenadas en los registros de una víctima e incluso introducir instrucciones maliciosas que, cuando se ejecutan, podrían extralimitarse para extraer secretos, exfiltrarse de datos confidenciales o incluso rasgar una carcasa inversa a una máquina bajo su control.
El parche publicado por Google Now garantiza que el usufructuario o cuenta de servicio que crea o actualiza un memorial en la nimbo tiene un permiso claro para penetrar a las imágenes del contenedor.
«El principal (cuenta de usufructuario o de servicio) que crea o actualiza un memorial de ejecución en la nimbo ahora necesita un permiso claro para penetrar a las imágenes del contenedor», dijo el titán tecnológico en sus notas de comunicación para la ejecución de la nimbo en enero de 2025.
«Al utilizar el registro de artefactos, asegúrese de que el director tenga el leedor de registro de artefactos (roles/artifacTregistry.reader) IAM papel en el plan o repositorio que contiene las imágenes del contenedor para implementar».
Tenable ha caracterizado a Imagerunner como una instancia de lo que lumbre Jenga, que surge correcto a la naturaleza interconectada de varios servicios en la nimbo, lo que provoca que se transfieran los riesgos de seguridad.
«Los proveedores de la nimbo crean sus servicios por otra parte de sus otros servicios existentes», dijo Matan. «Si un servicio es atacado o se ve comprometido, los otros construidos sobre él heredan el aventura y además se vuelven vulnerables».
«Este círculo abre la puerta a los atacantes para descubrir nuevas oportunidades de subida de privilegios e incluso vulnerabilidades, e introduce nuevos riesgos ocultos para los defensores».
La divulgación se produce semanas posteriormente de que Praetorian detalló varias formas en que un director de beocio privilegio puede extralimitarse de una máquina imaginario (VM) de Azure para obtener control sobre una suscripción de Azure,
- Ejecutar comandos en una VM Azure asociada con una identidad administrada administrada
- Inicie sesión en una VM Azure asociada con una identidad administrada administrativa
- Adjunte una identidad administrada administrada por el usufructuario administrativa existente a una VM Azure existente y ejecute comandos en esa VM
- Cree una nueva VM Azure, adjunte una identidad administrada administrada existente y ejecute comandos en esa VM utilizando acciones de plano de datos
«Posteriormente de obtener el rol del propietario para una suscripción, un atacante puede servirse su amplio control sobre todos los medios de suscripción para encontrar una ruta de subida de privilegios cerca de el inquilino Entra Id», dijeron los investigadores de seguridad Andrew Chang y Elgin Lee.
«Esta ruta se pedestal en un memorial de enumeración en la suscripción de la víctima con un principal de servicio con permisos de ID de Entra que puede permitirle prosperar al administrador mundial».
