谷歌云构建漏洞容易引发潜在的供应链攻击
原文中文,约900字,阅读约需2分钟。发表于: 。该漏洞会让攻击者的权限升级,使他们可以在未经授权的情况下访问谷歌构件注册表代码库。
云安全公司Orca Security发现了谷歌云构建服务中的关键设计漏洞“Bad.Build”,攻击者可以未经授权访问谷歌构件注册表代码库,进行供应链攻击。Orca Security利用cloudbuild.builds.create升级权限,篡改谷歌Kubernetes引擎的docker镜像。谷歌安全团队已部分修复漏洞,但仍存在底层漏洞和供应链攻击风险。企业应密切关注谷歌云构建服务账户行为,应用最小特权原则和实施云检测与响应功能来降低风险。