I ricercatori di sicurezza informatica hanno recentemente scoperto una vulnerabilità di escalation dei privilegi in Google Cloud Platform (GCP) Cloud Run, ora risolta, che avrebbe potuto permettere a un attore malintenzionato di accedere alle immagini dei contenitori e persino di iniettare codice dannoso.
Questa vulnerabilità, denominata ImageRunner dalla società di sicurezza informatica, è stata affrontata da Google il 28 gennaio 2025, a seguito di una divulgazione responsabile. Google Cloud Run è un servizio completamente gestito che consente l’esecuzione di applicazioni containerizzate in un ambiente scalabile e senza server. Quando si utilizza questa tecnologia, le immagini dei contenitori vengono recuperate dal registro degli artefatti (o Docker Hub) per la distribuzione, specificando l’URL dell’immagine.
Il problema risiedeva nel fatto che alcune identità, pur non avendo autorizzazioni di registro dei contenitori, possedevano autorizzazioni di modifica sulle revisioni di Google Cloud Run. Ogni volta che un servizio Cloud Run viene distribuito o aggiornato, viene creata una nuova versione, e un account di agente di servizio viene utilizzato per estrarre le immagini necessarie. Se un aggressore ottiene determinate autorizzazioni all’interno del progetto della vittima, in particolare run.services.update e iam.serviceAccounts, potrebbe sfruttare questa vulnerabilità.
Secondo Liv Matan, ricercatore di sicurezza di Tenable, la vulnerabilità avrebbe potuto permettere a un’identità di abusare delle sue autorizzazioni di modifica della revisione di Google Cloud Run per estrarre immagini private da Google Artifact Registry e Google Container Registry nello stesso account. Questo avrebbe potuto portare a gravi conseguenze, come l’accesso non autorizzato a dati sensibili e l’iniezione di codice dannoso.
Fonte: The Hackers News
