Los investigadores de seguridad de Tenable han descubierto una vulnerabilidad crítica en Google Cloud Run que podría permitir a atacantes acceder a contenedores privados y ejecutar código malicioso. La vulnerabilidad, denominada ImageRunner, fue parcheada por Google el 28 de enero de 2025 tras recibir el informe detallado del equipo de investigación.
Análisis técnico de la vulnerabilidad ImageRunner
La vulnerabilidad se originaba en una validación insuficiente de permisos en el servicio Google Cloud Run, una plataforma serverless para la ejecución de contenedores. Los atacantes con permisos run.services.update y iam.serviceAccounts.actAs podían manipular el servicio para obtener acceso no autorizado a imágenes de contenedores almacenadas en Google Artifact Registry y Container Registry, comprometiendo potencialmente la integridad de las aplicaciones desplegadas.
Impacto en la infraestructura cloud
La vulnerabilidad ImageRunner ejemplifica el denominado «efecto Jenga» en arquitecturas cloud, donde la interconexión de servicios puede provocar un efecto cascada en la propagación de vulnerabilidades. La explotación exitosa podría resultar en:
– Acceso no autorizado a imágenes de contenedores confidenciales
– Inyección de código malicioso en contenedores legítimos
– Extracción de datos sensibles y credenciales
– Establecimiento de persistencia mediante reverse shells
Medidas de mitigación implementadas
Google ha implementado controles de acceso adicionales que requieren permisos explícitos para acceder a imágenes de contenedores. Además, se han reforzado las validaciones de seguridad para operaciones de creación y actualización en Cloud Run, estableciendo un modelo de privilegios mínimos más estricto.
Este incidente resalta la importancia crítica de implementar estrategias robustas de gestión de accesos y realizar auditorías de seguridad periódicas en entornos cloud. Se recomienda a las organizaciones que utilizan Google Cloud Platform adoptar un enfoque de seguridad por capas, incluyendo monitorización continua, gestión rigurosa de permisos y evaluaciones regulares de configuraciones de seguridad para prevenir vulnerabilidades similares.
