ConfusedComposer: GCP Composer-t érintő privilege escalation sérülékenység

Editors' Pick

A Tenable Research egy privilege escalation sérülékenységet azonosított a Google Cloud Platformban (GCP), amelyet már javítottak, és amelyet ConfusedComposer-nek neveztek el. A sérülékenység lehetővé tehette, hogy egy Cloud Composer környezet szerkesztésére jogosult (composer.environments.update) személy jogosultságot emeljen a Cloud Build szolgáltatás alapértelmezett fiókjára. Az alapértelmezett Cloud Build szolgáltatásfiók magához a Cloud Buildhez, valamint a Cloud Storage-hoz, az Artifact Registry-hez és máshoz is tartalmaz jogosultságokat.

A Cloud Composer egy teljes mértékben menedzselt, Apache Airflow-ra épülő workflow orkesztrációs szolgáltatás a GCP-ben, amely a data pipeline-ok ütemezésére és automatizálására szolgál. A Cloud Build egy teljes mértékben menedzselt CI/CD szolgáltatás a GCP-ben, amely alkalmazásokat és konténereket épít, tesztel és telepít. A Cloud Composer a Cloud Buildet használja a csomagok összeállításához, és a rosszindulatú személyek itt élhettek vissza a folyamattal, hogy jogosultságokat növeljenek.

A Cloud Composer lehetővé teszi a felhasználók számára, hogy egyéni PyPI csomagokat telepítsenek a környezetükbe. Amikor egy felhasználó egyéni PyPI csomagot ad meg, a Composer elindít egy build folyamatot, és a Cloud Composer szolgáltatási fiók automatikusan biztosít egy Cloud Build példányt a felhasználó projektjében. Ez a példány az alapértelmezett Cloud Build szolgáltatási fiókhoz kapcsolódik, amely egy privilegizált identity, amely széleskörű jogosultságokkal rendelkezik a GCP-szolgáltatásokhoz, beleértve magát a Cloud Buildet, valamint a Cloud Storage-t, az Artifact Registry-t vagy a Container Registry-t és még sok más szolgáltatást.

Egy rosszindulatú szereplő az általa ellenőrzött rosszindulatú PyPI-csomagot injektálhatott volna az áldozat Composer egyéni csomagkonfigurációjába.

A javítás kiadása óta a Composer nem használja többé a Cloud Build szolgáltatási fiókot, helyette a Composer környezet szolgáltatási fiókot használja a PyPI modulok telepítéséhez. A javítás már ki lett terjesztve az új Composer példányokra és a meglévő példányokat 2025 áprilisáig frissíteni kell. Ezen kívül a GCP frissítette a Composer dokumentáció egyes részeit, például a hozzáférés-szabályozásról, a Python-függőségek telepítéséről és az Airflow CLI eléréséről szóló szakaszokat.

Forrás