Команда дослідників з компанії Tenable виявила критичну вразливість у сервісі Google Cloud Run, яка створювала серйозну загрозу для безпеки приватних контейнерів. Вразливість, названа ImageRunner, дозволяла зловмисникам отримувати несанкціонований доступ до конфіденційних контейнерних образів та потенційно впроваджувати шкідливий код. Google усунув цю проблему 28 січня 2025 року після отримання відповідного звіту від фахівців з кібербезпеки.
Технічні деталі вразливості
Google Cloud Run – це керований сервіс для розгортання контейнеризованих додатків у безсерверному середовищі. Вразливість виникала через недостатню валідацію прав доступу при роботі з ревізіями сервісу. Зловмисники з правами run.services.update та iam.serviceAccounts.actAs могли маніпулювати сервісом для отримання доступу до приватних контейнерних образів у Google Artifact Registry та Container Registry.
Вплив на хмарну інфраструктуру
Експерти характеризують ImageRunner як яскравий приклад “ефекту доміно” в хмарних системах. Взаємопов’язаність різних хмарних сервісів створює ризик каскадного поширення вразливостей – компрометація одного компонента може призвести до вразливості всієї пов’язаної інфраструктури.
Вектори потенційних атак
Експлуатація вразливості відкривала наступні можливості для зловмисників:
– Несанкціонований доступ до приватних контейнерних образів
– Впровадження шкідливого програмного коду
– Витік конфіденційних даних
– Встановлення прихованих backdoor-компонентів
Імплементовані заходи безпеки
Для усунення вразливості Google впровадив розширені механізми перевірки прав доступу. Система тепер вимагає експліцитного дозволу на доступ до контейнерних образів для всіх користувачів та сервісних акаунтів, що виконують операції створення або оновлення в Cloud Run.
Цей інцидент підкреслює критичну важливість регулярного аудиту безпеки хмарної інфраструктури та ретельної перевірки прав доступу. Організаціям, що використовують Google Cloud Platform, рекомендується впровадити багаторівневу систему контролю доступу, регулярно оновлювати політики безпеки та проводити періодичний аналіз вразливостей для мінімізації ризиків подібних інцидентів.
