Google Cloud Build 是 Google Cloud Platform 的持续整合及持续部署(CI/CD) 服务,其运作时相关联的服务包含 ArtifactRegistry、Google Kubernetes Engine (GKE)、和 App Engine 等服务。研究人员发现 Google Cloud Build 恐有 Bad.Build 的漏洞存在,使攻击者能利用漏洞提权注入恶意软件及进行未授权存取。
研究人员指出,使用预设的服务账户 (Service Account) 及权限将导致此风险产生。可透过 GCP 权限管理 (IAM) 针对 Google Cloud Build 所使用的关键权限 cloudbuild.builds.create 所进行限制以避免该漏洞被利用。
对此,Google 取消了 Cloud Build 服务账户的 logging.privateLogEntries.list 权限,以避免进一步的漏洞利用,但该调整并无法完全解决此风险发生。
建议的解决方案:
- 若无使用 Cloud Build / Cloud Build API 服务,请确认相关 Service account 及 API 是否关闭。
- 若使用此服务,须注意privateLogEntries.list 是否已经于 Cloud Build service account 中移除,以及评估移除 cloudbuild.builds.create 权限。
#PCI #PCI DSS #Compliance #Google Cloud #GCP
