HackerNews 编译,转载请注明出处:
安全研究人员发现并调查了谷歌云平台(GCP)Cloud Functions与Cloud Build服务中潜在的权限升级漏洞。该漏洞最初由Tenable研究团队披露,攻击者可利用GCP云函数的部署流程获取高权限。谷歌随后发布补丁,限制默认Cloud Build服务账户的过度权限。
思科Talos团队在Tenable研究基础上,复现攻击手法并测试其对多云平台的影响。研究人员在GCP部署含恶意package.json文件的Debian服务器(集成NPM与Ngrok),通过提取令牌模拟攻击,确认谷歌补丁已修复原始提权路径。但实验表明,即使无特权访问,相同技术仍可用于环境探测(如系统映射)。将篡改后的package.json部署至AWS Lambda与Azure Functions后,验证该策略在跨云场景中的普适性。
研究揭示攻击者可利用的多种系统信息收集手段:
- 基于ICMP协议的网络拓扑发现检测.dockerenv文件确认容器化环境分析CPU调度机制识别初始化系统容器ID与挂载点检查(用于逃逸路径探测)操作系统与内核版本信息提取用户权限扫描(辅助提权)网络流量分析(漏洞评估)
此类技术无需特权凭证即可实施,在服务账户权限受控场景下仍具威胁。
谷歌根据Tenable报告调整Cloud Build运行逻辑,新增细粒度服务账户管控策略。Talos证实,GCP中利用此方法窃取服务账户令牌已不可行。企业防护措施应包括:
- 对所有服务账户实施最小权限原则定期审计与监控权限配置设置云函数异常修改告警检查外发流量是否存在数据窃取迹象验证外部NPM包的完整性
尽管原始漏洞已修补,该研究仍凸显宽松配置带来的持续性风险及多云环境持续监控的重要性。
消息来源:infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
