Ein Bericht der Sicherheitsfirma Orca hat auf eine schwerwiegende Schwachstelle in Google Cloud Build aufmerksam gemacht. Diese hätte es Angreifern ermöglicht, Code-Repositories und Software-Images von Organisationen zu manipulieren. Ein möglicher Angriff auf die Lieferkette hätte weitreichende Folgen haben können.
Google hat auf den Bericht reagiert und einen Patch implementiert. Nach Ansicht des Orca-Forschers Roi Nisimi ist das Problem damit aber nicht vollständig gelöst, wie The Register berichtet. Vielmehr handele es sich um einen Designfehler, der Organisationen weiterhin einem erhöhten Lieferkettenrisiko aussetze. Sicherheitsteams müssten nun zusätzliche Maßnahmen ergreifen, um sich vor diesem Risiko zu schützen.
Hey Du, abonniere jetzt unseren WhatsApp-Newsletter-Kanal kostenlos!Im Kern geht es um schlecht definierte Berechtigungen. Der Cloud Build Service, ein Automatisierungsdienst von Google, verwendet Servicekonten, um Anfragen während eines Builds zu authentifizieren.
Mehr Rechte als erlaubt
Wenn jemand die Cloud Build API in einem Projekt zur Verfügung stellt, erstellt das Produkt automatisch ein Standard-Service-Konto, um Builds auszuführen. Bis Juni enthielt dieses eine Schwachstelle, die Builds Zugriff auf private Audit-Protokolle und damit eine vollständige Liste aller Berechtigungen im Projekt ermöglichte.
„Wir wissen die Arbeit der Forscher zu schätzen und haben auf der Grundlage ihres Berichts eine Korrektur vorgenommen, die in einem Anfang Juni veröffentlichten Sicherheitsbulletin beschrieben wird“, teilte Google mit. Wir werten das als ein Nein.
The Register
Auf Orcas Behauptung angesprochen, dass die von Google bereitgestellte Lösung nur teilweise effektiv sei, gab der Internetriese nur wenige Informationen heraus. Er verwies lediglich auf sein Belohnungsprogramm für aufgedeckte Sicherheitslücken und betonte, dass er die Unterstützung von Orca schätze.
Die Verantwortung für die Abwehr weiterer Angriffe liegt nun bei den IT-Verantwortlichen der betroffenen Organisationen. Sie müssen darauf achten, das Prinzip der minimalen Autorisierung zu befolgen und nur den Zugriff zu gewähren, der unbedingt notwendig ist, um das Risiko zu minimieren.