云安全公司Orca Security在谷歌云構(gòu)建（Google Cloud Build）服務中發(fā)現(xiàn)了一個關(guān)鍵的設計漏洞，該漏洞會讓攻擊者的權(quán)限升級，使他們可以在未經(jīng)授權(quán)的情況下訪問谷歌構(gòu)件注冊表（Google Artifact Registry）代碼庫。

該漏洞被稱為 "Bad.Build"，可使威脅者冒充谷歌云構(gòu)建管理的服務賬戶，針對構(gòu)件注冊表運行 API 調(diào)用，并控制應用程序映像。

這樣，他們就可以注入惡意代碼，從而在客戶環(huán)境中部署惡意軟件，導致潛在的供應鏈攻擊。

Orca安全研究員Roi Nisimi表示：潛在的威脅可能是多種多樣的，所有使用構(gòu)件注冊中心作為主要或次要鏡像庫的組織都應該警惕。

最直接的影響是破壞依賴于這些鏡像的應用程序。這也可能導致 DOS、數(shù)據(jù)竊取和向用戶傳播惡意軟件。正如我們在 SolarWinds 以及最近的 3CX 和 MOVEit 供應鏈攻擊中所看到的那樣，這可能會產(chǎn)生深遠的影響。

Orca Security的攻擊利用了cloudbuild.builds.create來升級權(quán)限，允許攻擊者使用artifactregistry權(quán)限來篡改谷歌Kubernetes引擎（GKE）的docker鏡像，并以root身份在docker容器內(nèi)運行代碼。

在 Orca Security 報告該問題后，谷歌安全團隊實施了部分修復措施，撤銷了默認云構(gòu)建服務賬戶中與構(gòu)件注冊表無關(guān)的 logging.privateLogEntries.list 權(quán)限。

但是，這一措施并不能直接解決Artifact Registry中的底層漏洞，權(quán)限升級和供應鏈攻擊風險依然存在。

因此，企業(yè)必須密切關(guān)注谷歌云構(gòu)建服務賬戶的行為。應用 "最小特權(quán)原則"（Principle of Least Privilege）和實施云檢測與響應功能來識別異常從而降低風險。

美國東部時間 7 月 18 日谷歌發(fā)表了如下聲明：

我們創(chuàng)建了漏洞獎勵計劃，專門用于識別和修復類似的漏洞。我們非常感謝 Orca 和更多的安全社區(qū)參與這些計劃。我們感謝研究人員所做的工作，并已根據(jù)他們的報告在 6 月初發(fā)布的安全公告中進行了修復。

參考鏈接：https://www.bleepingcomputer.com/news/security/google-cloud-build-bug-lets-hackers-launch-supply-chain-attacks/