Уязвимость ImageRunner устранена в Cloud Run

Недавно обнаруженная уязвимость в Google Cloud Run позволяла злоумышленникам получить несанкционированный доступ к контейнерным образам, что давало возможность внедрять вредоносный код через неправильное использование прав IAM.
Уязвимость ImageRunner устранена в Cloud Run
Изображение носит иллюстративный характер

Cloud Run представляет собой полностью управляемый сервис для запуска масштабируемых контейнеризированных приложений, с образами, загружаемыми из таких источников, как Google Artifact Registry и Docker Hub. При каждом обновлении сервиса создаётся новая ревизия, для которой автоматически используется учетная запись сервисного агента.

Ошибка возникала из-за сочетания прав: пользователи, наделенные run.services.update и iam.serviceAccounts.actAs, могли выбрать любой приватный контейнерный образ в рамках одного проекта, даже если им не предоставлены необходимые разрешения на доступ к реестру. Это позволяло злоумышленникам эскалировать свои привилегии и осуществлять атаки на инфраструктуру.

Проблема получила кодовое название ImageRunner, как отметили специалисты Tenable Security, а эксперт Liv Matan в отчёте для The Hacker News подчеркнул, что взаимосвязь облачных сервисов напоминает «Дженгу» – нарушение одного звена способно повлечь за собой цепную реакцию компрометаций.

Google оперативно выпустил патч. Согласно заметкам от января 2025 года, «Основной принципал (пользователь или служебная учетная запись), создающий или обновляющий ресурс Cloud Run, теперь должен иметь явное разрешение на доступ к контейнерному образу (ам)». Рекомендуется предоставлять роль Artifact Registry Reader (roles/artifactregistry.reader) для корректного доступа к образам.

Исправление исключает возможность несанкционированного доступа к чувствительным образам и предотвращает внедрение инструкций для получения секретов, утечки данных или установки обратного соединения с управляемой машиной злоумышленника. Правильное распределение прав становится критически важным для защиты облачной инфраструктуры.

Параллельно специалисты Praetorian описали уязвимости в инфраструктуре Azure виртуальных машин, при которых злоумышленники могли использовать административные управляемые идентичности для выполнения команд в рамках подписки. Методы включали запуск команд на виртуальной машине, вход в систему с использованием управляемой идентичности и создание новых ВМ с прикрепленной административной учетной записью.

Исследователи Andrew Chang и Elgin Lee указали, что компрометация сервисного принципала с правами Entra ID может привести к эскалации привилегий до статуса Global Administrator, что позволяет получить полный контроль над тенантом. Данный сценарий демонстрирует, как взаимосвязанность облачных сервисов может служить катализатором дальнейших атак.

Корректировка модели распределения прав и своевременное обновление настроек безопасности существенно снижают риск дальнейших инцидентов, обеспечивая более надёжную защиту критичных данных и инфраструктурных ресурсов компаний.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка