谷歌云构建漏洞容易引发潜在的供应链攻击
💡
原文中文,约900字,阅读约需2分钟。
📝
内容提要
云安全公司Orca Security发现了谷歌云构建服务中的关键设计漏洞“Bad.Build”,攻击者可以未经授权访问谷歌构件注册表代码库,进行供应链攻击。Orca Security利用cloudbuild.builds.create升级权限,篡改谷歌Kubernetes引擎的docker镜像。谷歌安全团队已部分修复漏洞,但仍存在底层漏洞和供应链攻击风险。企业应密切关注谷歌云构建服务账户行为,应用最小特权原则和实施云检测与响应功能来降低风险。
🎯
关键要点
- Orca Security发现谷歌云构建服务中的关键设计漏洞'Bad.Build',攻击者可未经授权访问谷歌构件注册表代码库。
- 该漏洞允许攻击者冒充服务账户,进行API调用并控制应用程序映像,可能导致供应链攻击。
- 潜在威胁包括恶意代码注入、DOS攻击、数据窃取和恶意软件传播。
- Orca Security利用cloudbuild.builds.create权限升级,篡改谷歌Kubernetes引擎的docker镜像。
- 谷歌安全团队已部分修复漏洞,但底层漏洞和供应链攻击风险仍然存在。
- 企业应关注谷歌云构建服务账户行为,应用最小特权原则和实施云检测与响应功能以降低风险。
➡️
