Google Cloud Buildは、Google Cloud PlatformのCI/CD（継続的インテグレーション／継続的デリバリー）サービスです。運用時に関係するサービスとしてArtifactRegistry、Google Kubernetes Engine（GKE）、App Engine等があります。ところが、Google Cloud BuildにBad.Buildの脆弱性が存在し、この脆弱性を悪用して権限昇格することで、マルウェアの注入や未認証アクセスが可能となる恐れがあることが、研究者によって明らかになりました。

このリスクを引き起こすのは、デフォルトのサービスアカウント（Service Account）および権限の使用だと研究者は指摘しています。この脆弱性が悪用されるのを防ぐには、Google Cloud Buildが使用する重要権限cloudbuild.builds.createをGCP権限管理（IAM）によって制限するのが有効です。

Googleではこの脆弱性の悪用が広がることのないよう、Cloud Buildサービスアカウントのlogging.privateLogEntries.list権限を取り消しましたが、この変更でリスクが完全に解消されたわけではありません。

おすすめの対策：

1. Cloud Build/Cloud Build APIサービスを利用していない場合は、このサービスアカウントとAPIがオフになっていることを確認してください。
2. このサービスを利用している場合は、listがCloud Build service accountから削除されていることを確認すると同時に、cloudbuild.builds.create権限を削除することを検討してください。

参考資料