Halve Google-fix voor kritieke cloudkwetsbaarheid

De nu half gefixte fout betreft een permissiekwestie, die is ontdekt door onderzoekers van Orca Security. Zij hebben de kwetsbaarheid de naam Bad.Build gegeven en waarschuwen dat aanvallers hierlangs kunnen binnendringen in code-repositories van bedrijven die hun software in Googles Cloud Build maken. "De fout vertegenwoordigt een aanzienlijk supplychain-risico aangezien hij aanvallers in staat stelt om te knoeien met applicatie-images, die dan gebruikers en klanten kunnen infecteren wanneer zij de applicatie installeren", schrijven de ontdekkers. Zij trekken de vergelijking met de geruchtmakende SolarWinds-hack en recente supplychain-aanvallen zoals 3CX en MOVEit waarlangs vele bedrijven en organisaties zijn geraakt.

Beveiligingswijsheden

De ontdekte fout in Googless cloudomgeving voor softwarebuilds is verantwoord gemeld aan de internetreus, die vervolgens een fix heeft doorgevoerd. Orca Security constateert echter dat die update het eigenlijke probleem helemaal niet oplost. De Google-fix beperkt het gevaar slechts. De onderliggende aanvalsmogelijkheid van het verkrijgen van meer rechten (privilege escalation) bestaat nu namelijk nog, waardoor organisaties nog altijd kwetsbaar kunnen zijn.

Voor het daadwerkelijk dichten van dit gat moeten IT-beheerders of cyberbeveiligers bij organisaties die Cloud Build gebruiken zelf nog actie ondernemen. Orca geeft daarvoor een reeks aanbevelingen, die beginnen met de klassieke wijsheid zo min mogelijk rechten toe te kennen (least privilege). Daarna volgens securitytips als het toekennen van prioriteit aan risico's die een gevaar vormen voor kritieke business assets, zoals dus code en applicatie-images die een organisatie maakt, heeft en/of gebruikt.