Los investigadores de seguridad cibernética han revelado detalles de una vulnerabilidad de escalada de privilegios ahora empatada en Google Cloud Platform (GCP) Cloud Run que podría haber permitido a un actor malicioso acceder a imágenes de contenedores e incluso inyectar código malicioso.
«La vulnerabilidad podría haber permitido que tal identidad abusara de sus permisos de edición de revisión de Google Cloud Run para extraer el registro privado de Google Artifact y las imágenes del Registro de Contenedores de Google en la misma cuenta», dijo el investigador de seguridad tenable Liv Matan en un informe compartido con las noticias de Hacker.
La deficiencia de seguridad ha sido con nombre en código Imagerunner por la compañía de seguridad cibernética. Después de la divulgación responsable, Google abordó el problema al 28 de enero de 2025.
Google Cloud Run es un servicio totalmente administrado para ejecutar aplicaciones contenedores en un entorno escalable sin servidor. Cuando la tecnología se utiliza para ejecutar un servicio, las imágenes de contenedores se recuperan del registro de artefactos (o Docker Hub) para la implementación posterior especificando la URL de la imagen.
En el problema es el hecho de que hay ciertas identidades que carecen de permisos de registro de contenedores, pero que tienen permisos de edición en las revisiones de Google Cloud.
Cada vez que se implementa o actualiza un servicio de ejecución en la nube, se crea una nueva versión. Y cada vez que se implementa una revisión de Cloud Run, se utiliza una cuenta de agente de servicio para extraer las imágenes necesarias.
«Si un atacante obtiene ciertos permisos dentro del proyecto de una víctima, específicamente run.services.update e iam.serviceAccounts.actas permisos, podrían modificar un servicio de ejecución en la nube e implementar una nueva revisión», explicó Matan. «Al hacerlo, podrían especificar cualquier imagen de contenedor privado dentro del mismo proyecto para que el servicio se tire».
Además, el atacante podría acceder a imágenes confidenciales o patentadas almacenadas en los registros de una víctima e incluso introducir instrucciones maliciosas que, cuando se ejecutan, podrían abusar para extraer secretos, exfiltrarse de datos confidenciales o incluso abrir una carcasa inversa a una máquina bajo su control.
El parche publicado por Google Now garantiza que el usuario o cuenta de servicio que crea o actualiza un recurso en la nube tiene un permiso explícito para acceder a las imágenes del contenedor.
«El principal (cuenta de usuario o de servicio) que crea o actualiza un recurso de ejecución en la nube ahora necesita un permiso explícito para acceder a las imágenes del contenedor», dijo el gigante tecnológico en sus notas de comunicación para la ejecución de la nube en enero de 2025.
«Al utilizar el registro de artefactos, asegúrese de que el director tenga el lector de registro de artefactos (roles/artifacTregistry.reader) IAM papel en el proyecto o repositorio que contiene las imágenes del contenedor para implementar».
Tenable ha caracterizado a Imagerunner como una instancia de lo que llama Jenga, que surge debido a la naturaleza interconectada de varios servicios en la nube, lo que provoca que se transfieran los riesgos de seguridad.
«Los proveedores de la nube crean sus servicios además de sus otros servicios existentes», dijo Matan. «Si un servicio es atacado o se ve comprometido, los otros construidos sobre él heredan el riesgo y también se vuelven vulnerables».
«Este escenario abre la puerta a los atacantes para descubrir nuevas oportunidades de escalada de privilegios e incluso vulnerabilidades, e introduce nuevos riesgos ocultos para los defensores».
La divulgación se produce semanas después de que Praetorian detalló varias formas en que un director de menor privilegio puede abusar de una máquina virtual (VM) de Azure para obtener control sobre una suscripción de Azure,
- Ejecutar comandos en una VM Azure asociada con una identidad administrada administrada
- Inicie sesión en una VM Azure asociada con una identidad administrada administrativa
- Adjunte una identidad administrada administrada por el usuario administrativa existente a una VM Azure existente y ejecute comandos en esa VM
- Cree una nueva VM Azure, adjunte una identidad administrada administrada existente y ejecute comandos en esa VM utilizando acciones de plano de datos
«Después de obtener el rol del propietario para una suscripción, un atacante puede aprovechar su amplio control sobre todos los recursos de suscripción para encontrar una ruta de escalada de privilegios hacia el inquilino Entra Id», dijeron los investigadores de seguridad Andrew Chang y Elgin Lee.
«Esta ruta se basa en un recurso de cómputo en la suscripción de la víctima con un principal de servicio con permisos de ID de Entra que puede permitirle escalar al administrador global».
