【GCP】使用 Google Cloud Build 的要小心了 - 安律信息技術有限公司 Secure Vectors Information Technologies Inc. PCI

Google Cloud Build 是 Google Cloud Platform 的持續整合及持續部署(CI/CD) 服務，其運作時相關聯的服務包含 ArtifactRegistry、Google Kubernetes Engine (GKE)、和 App Engine 等服務。研究人員發現 Google Cloud Build 恐有 Bad.Build 的漏洞存在，使攻擊者能利用漏洞提權注入惡意程式及進行未授權存取。

研究人員指出，使用預設的服務帳戶 (Service Account) 及權限將導致此風險產生。可透過 GCP 權限管理 (IAM) 針對 Google Cloud Build 所使用的關鍵權限 cloudbuild.builds.create 所進行限制以避免該漏洞被利用。

對此，Google 取消了 Cloud Build 服務帳戶的 logging.privateLogEntries.list 權限，以避免進一步的漏洞利用，但該調整並無法完全解決此風險發生。

建議的解決方案：

若無使用 Cloud Build / Cloud Build API 服務，請確認相關 Service account 及 API 是否關閉。
若使用此服務，須注意 privateLogEntries.list 是否已經於 Cloud Build service account 中移除，以及評估移除 cloudbuild.builds.create 權限。

#PCI #PCI DSS #Compliance #Google Cloud #GCP

參考資料

https://www.ithome.com.tw/news/157880

https://www.bleepingcomputer.com/news/security/google-cloud-build-bug-lets-hackers-launch-supply-chain-attacks/

hthttps://orca.security/resources/blog/bad-build-google-cloud-build-potential-supply-chain-attack-vulnerability/

關於安律

我們的服務

顧問諮詢

追蹤我們