Ssylka

Уязвимость ImageRunner устранена в Cloud Run

Недавно обнаруженная уязвимость в Google Cloud Run позволяла злоумышленникам получить несанкционированный доступ к контейнерным образам, что давало возможность внедрять вредоносный код через неправильное использование прав IAM.
Уязвимость ImageRunner устранена в Cloud Run
Изображение носит иллюстративный характер

Cloud Run представляет собой полностью управляемый сервис для запуска масштабируемых контейнеризированных приложений, с образами, загружаемыми из таких источников, как Google Artifact Registry и Docker Hub. При каждом обновлении сервиса создаётся новая ревизия, для которой автоматически используется учетная запись сервисного агента.

Ошибка возникала из-за сочетания прав: пользователи, наделенные run.services.update и iam.serviceAccounts.actAs, могли выбрать любой приватный контейнерный образ в рамках одного проекта, даже если им не предоставлены необходимые разрешения на доступ к реестру. Это позволяло злоумышленникам эскалировать свои привилегии и осуществлять атаки на инфраструктуру.

Проблема получила кодовое название ImageRunner, как отметили специалисты Tenable Security, а эксперт Liv Matan в отчёте для The Hacker News подчеркнул, что взаимосвязь облачных сервисов напоминает «Дженгу» – нарушение одного звена способно повлечь за собой цепную реакцию компрометаций.

Google оперативно выпустил патч. Согласно заметкам от января 2025 года, «Основной принципал (пользователь или служебная учетная запись), создающий или обновляющий ресурс Cloud Run, теперь должен иметь явное разрешение на доступ к контейнерному образу (ам)». Рекомендуется предоставлять роль Artifact Registry Reader (roles/artifactregistry.reader) для корректного доступа к образам.

Исправление исключает возможность несанкционированного доступа к чувствительным образам и предотвращает внедрение инструкций для получения секретов, утечки данных или установки обратного соединения с управляемой машиной злоумышленника. Правильное распределение прав становится критически важным для защиты облачной инфраструктуры.

Параллельно специалисты Praetorian описали уязвимости в инфраструктуре Azure виртуальных машин, при которых злоумышленники могли использовать административные управляемые идентичности для выполнения команд в рамках подписки. Методы включали запуск команд на виртуальной машине, вход в систему с использованием управляемой идентичности и создание новых ВМ с прикрепленной административной учетной записью.

Исследователи Andrew Chang и Elgin Lee указали, что компрометация сервисного принципала с правами Entra ID может привести к эскалации привилегий до статуса Global Administrator, что позволяет получить полный контроль над тенантом. Данный сценарий демонстрирует, как взаимосвязанность облачных сервисов может служить катализатором дальнейших атак.

Корректировка модели распределения прав и своевременное обновление настроек безопасности существенно снижают риск дальнейших инцидентов, обеспечивая более надёжную защиту критичных данных и инфраструктурных ресурсов компаний.


Новое на сайте

15389Подземное таяние под фундаментом северной Америки 15388NASA показала астероид Doughaldjohanson с формой булавы 15387Запрет восьми искусственных красителей в продуктах США: план Роберта Кеннеди-младшего 15386Как зловредный Docker-модуль использует Teneo Web3 для добычи криптовалюты через... 15385Влияние плана 529 на размер финансовой помощи в вузах 15384Первое свидетельство социального потребления алкоголя среди шимпанзе 15383Возвращение беверли Найт на родную сцену Веллингтона 15382«Череп» Марса: неожиданная находка ровера Perseverance в кратере Джезеро 15381Внутренние угрозы безопасности: браузеры как слабое звено в корпоративной защите 15380Тайна столкновения в скоплении персея раскрыта 15379Уязвимость ConfusedComposer в GCP Cloud Composer открывает путь к эскалации привилегий 15378Как когнитивные тесты помогают воспитать послушного щенка 15377Почему астероид Дональджонсон удивляет геологов всей сложностью? 15376Почему забыть отравление едой невозможно? 15375Стальная гнездовая коробка на мосту: надежная защита для орланов и автомобилистов