Une récente faille de sécurité dans Google Cloud Run a été corrigée par Google, après avoir exposé des données sensibles via une élévation de privilèges. Cette vulnérabilité, désormais patchée, aurait pu permettre à des cybercriminels de voler ou altérer des images de conteneurs privées en exploitant des permissions IAM mal configurées. Cette découverte met en lumière de nouvelles menaces dans les environnements cloud, où les interactions entre services peuvent introduire des risques imprévus. Si vous recherchez des actualités sur les vulnérabilités dans le cloud ou sur la sécurité de Google Cloud Platform (GCP), voici les derniers éléments à connaître.
Une faille critique dans Google Cloud Run : ImageRunner
Une exploitation possible via des permissions IAM mal configurées
La vulnérabilité, surnommée ImageRunner par les chercheurs en cybersécurité de Tenable, affectait le service Google Cloud Run, utilisé pour déployer des applications conteneurisées dans un environnement sans serveur. Lorsqu’une application est déployée, les images nécessaires sont récupérées depuis le Google Artifact Registry ou le Google Container Registry.
Problème : certaines identités disposaient des droits nécessaires pour éditer des révisions de services Cloud Run, sans pour autant avoir l’autorisation d’accéder aux images de conteneurs associées. Un attaquant ayant obtenu des privilèges IAM spécifiques (run.services.update et iam.serviceAccounts.actAs) dans un projet pouvait alors forcer le service à déployer une image privée, même s’il ne détenait pas de permissions de lecture sur celle-ci.
Risque de compromission des images de conteneurs
En utilisant cette méthode, un attaquant pouvait accéder à des images confidentielles stockées dans le même projet, y injecter du code malveillant ou extraire des données sensibles. Une fois la charge exécutée, il devenait possible de voler des informations, d’exfiltrer des secrets ou même d’ouvrir une connexion à distance vers un serveur contrôlé par l’attaquant, compromettant davantage l’environnement cloud de la victime.
La réponse de Google et les nouvelles mesures de sécurité
Un correctif déployé fin janvier 2025
Suite à la divulgation responsable par Tenable, Google a corrigé la faille le 28 janvier 2025. Désormais, les utilisateurs ou services créant ou mettant à jour un service Cloud Run doivent impérativement avoir des droits explicites pour accéder aux images de conteneurs.
Google recommande en particulier d’attribuer le rôle IAM Artifact Registry Reader (roles/artifactregistry.reader) aux comptes devant déployer des images, une manière d’éviter les dérives causées par des accès trop larges à certains services cloud.
Une faille d’architecture liée à l’interconnexion des services cloud
Les chercheurs de Tenable comparent cette vulnérabilité à une tour de Jenga numérique, où une faiblesse dans un service cloud peut avoir des effets en cascade sur d’autres composants, augmentant les risques d’élévation de privilèges inattendue.
Comme dans nombre de cas de sécurité cloud, la faille montrait que des droits IAM incorrectement configurés pouvaient offrir à un acteur malveillant des moyens de détourner les services existants à leur avantage. Ces concepts sont abordés de façon détaillée dans notre livre pour hacker, une ressource idéale pour apprendre à hacker et comprendre concrètement les combinaisons d’attaques possibles dans des environnements cloud sécurisés en apparence.
Multiplication des scénarios d’attaque dans les environnements cloud
Azure également touché par des configurations dangereuses
Cette révélation sur Google Cloud Run fait écho à une autre découverte récente concernant Microsoft Azure. L’entreprise Praetorian a montré comment un utilisateur à faible privilège pouvait, via des machines virtuelles, obtenir un accès élargi à un abonnement Azure, voire à l’ensemble de l’environnement Entra ID.
La combinaison de droits trop larges et d’accessoires mal configurés, notamment liés aux identités managées, ouvre des portes aux pirates pour atteindre des positions de pouvoir très élevées dans l’infrastructure cible.
Vers un renforcement nécessaire des stratégies IAM
Ces attaques montrent une tendance de fond : les erreurs ou négligences dans la gestion des rôles IAM sont devenues des vecteurs d’attaque privilégiés dans le cloud. Les entreprises qui s’appuient sur des environnements comme GCP ou Azure doivent impérativement auditer leurs droits d’accès, vérifier les chaînes de dépendance entre services et mettre à jour leurs pratiques sécuritaires.
Les concepts explorés dans notre livre pour apprendre le hacking permettent d’anticiper ces scénarios et de mettre en œuvre des simulations afin de renforcer les postures de sécurité actuelles.
Chez CyberCare, nous aidons nos clients à sécuriser leur infrastructure cloud en détectant les mauvaises configurations IAM et en testant la résilience de leurs systèmes face aux élévations de privilèges potentielles.
