Des chercheurs ont découvert une vulnérabilité critique dans Google Cloud Build qui permettait d'accorder des privilèges élevés à des utilisateurs non autorisés. Un adversaire pourrait exploiter le défaut de conception pour diverses activités malveillantes, notamment des attaques de la chaîne d'approvisionnement.
Vulnérabilité de Google Cloud Build
Différentes entreprises de sécurité ont analysé et découvert un grave défaut de conception dans le service Google Cloud Build. Plus précisément, ils ont découvert une vulnérabilité d'escalade des privilèges dans Google Cloud Build qui permettait un accès explicite à un adversaire non autorisé.
Google Cloud Build est le service CI/CD de Google aidant les utilisateurs à automatiser la construction, les tests et le déploiement de logiciels dans tous les langages. Il prend également en charge l'intégration avec d'autres services Google Cloud, tels que App Engine et Kubernetes Engine.
Leurs chercheurs ont observé qu'un adversaire pourrait exploiter le problème dans un Cloud Build spécifique pour obtenir des privilèges élevés et un accès explicite au serveur de construction. L'attaquant peut utiliser des informations d'identification GCP compromises pour obtenir les autorisations souhaitées.
Ensuite, après avoir obtenu l'exécution de code à distance sur le serveur de construction cible, l'attaquant peut trouver et abuser du jeton d'accès au compte du service de construction en nuage mis en cache localement sur le serveur. Plus tard, l'utilisation de ce jeton d'accès permet à l'attaquant d'obtenir des privilèges plus élevés.
Après avoir découvert la vulnérabilité, Rhino Security Labs a divulgué l'affaire de manière responsable à Google. Cependant, le géant de la technologie n'a pas considéré qu'il s'agissait d'une faille de sécurité.
Pendant ce temps, une autre société de sécurité, Orca Security, a également découvert le même problème et a pu exploiter la vulnérabilité plus rapidement. Leurs chercheurs ont expliqué les détails de cette vulnérabilité, qu'ils appellent “Bad.Build”, dans un billet séparé.
Ils ont constaté que la faille était trivialement exploitable, car un adversaire pourrait manipuler malicieusement les images des applications, induisant une attaque de la chaîne d'approvisionnement similaire aux incidents de sécurité de SolarWinds et de 3CX.
Google a assuré la correction de la vulnérabilité
Suite à cette découverte, Orca Security a également contacté Google, qui a reconnu le problème et déployé un correctif partiel. Cependant, comme la faille reste exploitable, les chercheurs ont exhorté toutes les organisations à surveiller le compte du service Google Cloud Build pour détecter tout comportement malveillant, à déployer le principe du moindre privilège et à mettre en œuvre des capacités de détection et d'intervention dans le nuage.
Néanmoins, selon une récente déclaration de Google (fournie au Bleeping Computer), le géant de la technologie a patché la vulnérabilité.
Fais-nous part de tes réflexions dans les commentaires.
