رفع آسیب‌پذیری بد بیلد توسط گوگل

به گزارش کارگروه امنیت خبرگزاری سایبربان، در حالی که اصلاحیه ای برای این مشکل در ماه ژوئن منتشر شده بود، محققانی که این باگ را کشف کرده اند، تجزیه و تحلیل کامل آسیب‌پذیری خود را در روز سه‌شنبه منتشر کرده و توضیح می دهند که این آسیب‌پذیری، بردار تهدیدی شبیه به سولار ویندز (SolarWinds) یا حملات اخیر زنجیره تأمین سی اکس 3 (3CX) و موو ایت (MOVEit) ایجاد کرده است.

این ابزار به کاربران اجازه می‌دهد تا بیلد ها را در گوگل کلود مطابق با مشخصات خود اجرا کنند و کد را از مخازن مختلف و فضاهای ذخیره‌سازی ابری وارد کنند.

این مشکل که بد بیلد (Bad.Build) نامیده می شود، حول مجوزهای داده شده به حساب های خدمات پیش فرض که با سرویس کلود بیلد ارائه می شود، متمرکز بوده است.

شرکت امنیتی اورکا (Orca Security) که این اشکال را به گوگل گزارش کرده است، می گوید که مهاجمان می‌توانند هویت حساب‌ها را جعل کنند و بیلد را دستکاری کنند، کدهای مخرب را تزریق کنند یا اقدامات دیگری انجام دهند.

گوگل استدلال می‌کند که کلود بیلد با حساب‌های خدمات پیش‌فرض همراه است که شامل مجوزهایی است که احتمالاً بسیاری از کاربران به آن نیاز دارند.

اما روی نیسیمی از شرکت امنیتی اورکا در یک پست وبلاگ توضیح می دهد که با سوء استفاده از این نقص که جعل هویت حساب پیش‌فرض سرویس کلود بیلد را امکان‌پذیر می‌کند، یک مهاجم می‌تواند تصاویر را در رجیستری مصنوع گوگل، دستکاری کرده و کد مخرب را تزریق کند.

نیسیمی می گوید:

هر برنامه‌ای که از تصاویر دستکاری شده ساخته می‌شود تحت تأثیر قرار خواهد گرفت و پیامدهای بالقوه‌ای از جمله حملات انکار سرویس (Denial-of-Service)، سرقت داده‌ها و گسترش بدافزارها خواهد داشت. حتی بدتر از آن، اگر قرار باشد برنامه‌های نادرست در محیط‌های مشتری (چه داخلی یا نیمه SaaS) مستقر شوند، این خطر از محیط سازمان تأمین‌کننده به محیط‌های مشتریانشان منتقل شده و یک حمله زنجیره تأمین را تشکیل خواهد داد.

یکی از سخنگویان گوگل به خبرگزاری ریکوردد فیوچر نیوز (Recorded Future News) می گوید که آنها در 8 ژوئن پس از دریافت گزارش از شرکت امنیتی اورکا، راه حلی را برای این مشکل منتشر کرده و گفته اند که کاربران نیازی به انجام هیچ اقدامی ندارند.

سخنگوی گوگل می گوید:

ما از مشارکت اورکا و جامعه امنیتی گسترده تر در این برنامه ها قدردانی می کنیم. ما از کار محققان قدردانی می کنیم و بر اساس گزارش آنها همانطور که در یک بولتن امنیتی منتشر شده و در اوایل ژوئن آمده است، اصلاحیه ای را صادر کرده ایم.

رفع مشکل یک مجوز را از حساب پیش‌فرض کلود بیلد سرویس (Cloud Build Service) حذف خواهد کردی.

نیسیمی استدلال می کند که راه حل گوگل به طور کامل به این موضوع نمی پردازد که چگونه هکرها می توانند به حقوق، مجوزها یا امتیازات بالاتری فراتر از آنچه برای یک هویت یا کاربر خاص اختصاص داده شده است، دسترسی غیرقانونی داشته باشند.

وی در این باره می گوید:

این موضوع فقط آن را محدود خواهد کرد و آن را به یک نقص طراحی که هنوز سازمان ها را در برابر ریسک زنجیره تامین بزرگتر آسیب پذیر می کند، تبدیل خواهد کرد. از این رو، تیم های امنیتی را ملزم خواهد کرد تا اقدامات بیشتری را برای محافظت در برابر این خطر انجام دهند.

گوگل ارزیابی شرکت امنیتی اورکا را رد کرده و توضیح می دهد که دسترسی داده شده به حساب‌های سرویس، در واقع ماهیت سیستم‌های خودکاری است که به طور مستقل اجرا می‌شوند.

هم گوگل و هم شرکت امنیتی اورکا از همه سازمان‌ها خواسته‌اند که مجوزها را بررسی کرده و آن‌ها را به دلخواه خود و بسته به وضعیت امنیتی و سایر عوامل، تنظیم کنند.