云安全公司Orca Security在谷歌云構建（Google Cloud Build）服務中發現了一個關鍵的設計漏洞，該漏洞會讓攻擊者的權限升級，使他們可以在未經授權的情況下訪問谷歌構件注冊表（Google Artifact Registry）代碼庫。

該漏洞被稱為 "Bad.Build"，可使威脅者冒充谷歌云構建管理的服務賬戶，針對構件注冊表運行 API 調用，并控制應用程序映像。

這樣，他們就可以注入惡意代碼，從而在客戶環境中部署惡意軟件，導致潛在的供應鏈攻擊。

Orca安全研究員Roi Nisimi表示：潛在的威脅可能是多種多樣的，所有使用構件注冊中心作為主要或次要鏡像庫的組織都應該警惕。

最直接的影響是破壞依賴于這些鏡像的應用程序。這也可能導致 DOS、數據竊取和向用戶傳播惡意軟件。正如我們在 SolarWinds 以及最近的 3CX 和 MOVEit 供應鏈攻擊中所看到的那樣，這可能會產生深遠的影響。

Orca Security的攻擊利用了cloudbuild.builds.create來升級權限，允許攻擊者使用artifactregistry權限來篡改谷歌Kubernetes引擎（GKE）的docker鏡像，并以root身份在docker容器內運行代碼。

在 Orca Security 報告該問題后，谷歌安全團隊實施了部分修復措施，撤銷了默認云構建服務賬戶中與構件注冊表無關的 logging.privateLogEntries.list 權限。

但是，這一措施并不能直接解決Artifact Registry中的底層漏洞，權限升級和供應鏈攻擊風險依然存在。

因此，企業必須密切關注谷歌云構建服務賬戶的行為。應用 "最小特權原則"（Principle of Least Privilege）和實施云檢測與響應功能來識別異常從而降低風險。

美國東部時間 7 月 18 日谷歌發表了如下聲明：

我們創建了漏洞獎勵計劃，專門用于識別和修復類似的漏洞。我們非常感謝 Orca 和更多的安全社區參與這些計劃。我們感謝研究人員所做的工作，并已根據他們的報告在 6 月初發布的安全公告中進行了修復。

參考鏈接：https://www.bleepingcomputer.com/news/security/google-cloud-build-bug-lets-hackers-launch-supply-chain-attacks/