10万美元：Google Cloud Shell容器逃逸

来自荷兰的研究人员声称获得了谷歌第一个年度云平台漏洞赏金，主要涉及容器逃逸。

谷歌颁发了谷歌云平台（GCP）的首个年度大奖，以表彰在Google Cloud Shell中发现的漏洞。而这一漏洞为荷兰研究人员Wouter ter Maat带来了10万美元的收入。

这家互联网巨头还宣布，作为谷歌漏洞奖励计划（VRP）的一部分，将扩大年度GCP奖金的发放范围。它将为2020年提交的GCP产品中危害最大的漏洞报告提供6个特别奖项，奖金总额为313337美元。第六名的奖金为1000美元，第一名为133337美元。

漏洞猎人将需要提供一个公开的漏洞说明文件，以符合获奖资格。而且有趣的是，这篇文章不能超过31337个单词。谷歌还在本周的一篇文章中表示，对于那些预算有限的研究人员，可以使用免费的GCP。

说明

Google Cloud Shell是一个基于Linux和浏览器的针对管理员的控制前端，提供对谷歌云平台中各种资源的访问能力。包括gcloud、Docker、Kubernetes、Python、vim、Emacs、Theia等。谷歌云平台的用户可以通过谷歌云console启动云Shell实例：

Ter Maat指出，在云Shell如何与资源交互方面存在几个缺陷，首先是身份验证问题，可导致攻击者在主机上获得root访问权限，重新配置驻留在主机上的任何容器。

ter Maat在他的文章中表示：“当云Shell实例加载完成时，用户会看到终端窗口。此时gcloud客户端已经通过了身份验证。如果攻击者能够侵入你的云Shell，那么它就可以访问你所有的GCP资源。”

在启动一个云Shell之后，研究人员能够连接到云资源，此外还确定自己“被困在Docker容器中”，因为只有少量进程在运行。然后，通过检查文件系统，他发现能够跳出容器并访问整个主机。

研究人员注意到有两个Docker UNIX套接字可用。一个在/run/docker.sock，这是我们的Docker客户端运行在云shell内的默认路径；第二个在/google/host/var/run/docker.sock。

第二个套接字和基于主机的Docker套接字有关，这可以从它的路径名看出来。

“任何可以与基于主机的Docker套接字进行通信的人都可以轻松地逃离容器，同时获得主机上的root访问权”，为此研究人员编写了一个脚本来演示。

然后，通过root权限，他还能够重新配置Kubernetes，通过编写一个新的cs-6000.yaml配置文件，并将旧的配置文件设置为/dev/null，来将所有的容器从无权限的容器转换成到特权容器。

“运行之后，你会发现所有容器都会自动重启，并且都以特权模式运行。”

据安全公司趋势科技称，恶意控制容器对网络安全的影响数不胜数。

去年年底的一份安全报告称：“运行带有高权限的容器，可让内部角色对主机资源进行访问。对于那些恶意攻击者来说，由此产生的恶意利用方法的是无止境的。攻击者可以识别主机上运行的软件，利用其中漏洞，还可以利用容器软件本身的漏洞和配置错误。而且因为攻击者有root访问权限，恶意代码或挖矿软件会更安全地隐藏。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://threatpost.com/100k-google-cloud-shell-root-compromise/153665/