Специалисты по кибербезопасности компании Tenable выявили серьезную уязвимость в сервисе Google Cloud Run, которая позволяла злоумышленникам получать несанкционированный доступ к приватным контейнерам и потенциально внедрять в них вредоносный код. Уязвимость, получившая название ImageRunner, была успешно устранена Google 28 января 2025 года после получения соответствующего уведомления от исследователей.
Механизм эксплуатации уязвимости
Google Cloud Run представляет собой управляемый сервис для запуска контейнеризированных приложений в бессерверной среде. Уязвимость возникала из-за недостаточной проверки прав доступа при работе с ревизиями сервиса. Злоумышленник, обладающий правами run.services.update и iam.serviceAccounts.actAs, мог манипулировать службой Cloud Run для получения доступа к приватным образам контейнеров, хранящимся в Google Artifact Registry и Container Registry.
Каскадный эффект в облачной инфраструктуре
Эксперты Tenable характеризуют ImageRunner как классический пример «эффекта Jenga» в облачных системах. Взаимозависимость различных облачных сервисов создает риск каскадного распространения уязвимостей: компрометация одного компонента может привести к уязвимости всех связанных с ним сервисов.
Потенциальные угрозы безопасности
Эксплуатация уязвимости открывала перед злоумышленниками широкий спектр возможностей для атак:
— Доступ к конфиденциальным контейнерным образам
— Внедрение вредоносного кода
— Извлечение секретных данных
— Установка бэкдоров через реверс-шелл
Реализованные меры защиты
В рамках устранения уязвимости Google внедрил дополнительные механизмы проверки прав доступа. Теперь система требует явного разрешения на доступ к контейнерным образам для всех пользователей и сервисных аккаунтов, выполняющих операции создания или обновления в Cloud Run.
Данный инцидент подчеркивает важность регулярного аудита безопасности облачной инфраструктуры и тщательной проверки прав доступа. Организациям, использующим Google Cloud Platform, рекомендуется внедрить многоуровневую систему контроля доступа и регулярно обновлять политики безопасности для минимизации рисков подобных уязвимостей.
