Vulnerabilidade dá acesso quase total a repositórios de código Google Artifact Registry

Uma vulnerabilidade no serviço Google Cloud Build fornece acesso quase total e não autorizado aos repositórios de código do Google Artifact Registry. 

A falha descoberta pela Orca Security, denominada Bad.Build, permite que os cibercriminosos se façam passar uma conta no serviço de gestão de Continuous Integration and Delivery  (CI/CD) do Google Cloud Build para executar API calls e tomar controlo das imagens da aplicação. Isto permite que injetem código malicioso. 

“O potencial impacto pode ser diverso e aplica-se a todas as organizações que estão a utilizar o Artifact Registry como o seu repositório de imagens principal ou secundário”, disse o investigador da Orca Security, Roi Nisimi. “O primeiro e imediato impacto é interromper as aplicações que dependem dessas imagens. Isso pode levar a DOS, roubo de dados e disseminação de malware para os utilizadores. Como vimos com a SolarWinds e os recentes ataques à cadeia de valor 3CX e MOVEit, isso pode ter consequências a longo prazo”.

O ataque aproveita-se da permissão cloudbuild.builds.create para escalar privilégios e permitir que atacantes modifiquem imagens docker do Google Kubernetes Engine (GKE) e executem código dentro do docker container como root.

Depois de reportado o bug, a equipa de segurança da Google implementou uma correção parcial revogando a permissão logging.privateLogEntries.list da conta padrão Cloud Build Service, não relacionada com o Artifact Registry. É de notar que a medida não abordou diretamente a vulnerabilidade subjacente no Artifact Registry. “A correção da Google não revoga o vetor Privilege Escalation (PE) descoberto. Apenas o limita, transformando-o numa falha de design que ainda deixa as organizações vulneráveis ao maior risco da cadeia de valor”, disse Nisimi.