Google ได้แก้ไขช่องโหว่ Cloud Run ที่ทำให้สามารถเข้าถึงรูปภาพโดยไม่ได้รับอนุญาตผ่านการใช้ IAM ในทางที่ผิด

มีการเปิดเผยช่องโหว่ด้านความปลอดภัยใน Google Cloud Platform (GCP) Cloud Run ที่สามารถให้อาชญากรไซเบอร์เข้าถึงภาพ container ส่วนตัว และอาจแทรกโค้ดอันตรายได้ ช่องโหว่นี้ถูกตั้งชื่อว่า **ImageRunner** และได้รับการแก้ไขโดย Google เมื่อวันที่ 28 มกราคม 2025

รายละเอียดช่องโหว่:

• - ผู้โจมตีอาจใช้สิทธิ์บางอย่างในโปรเจ็กต์เพื่อปรับเปลี่ยน Cloud Run service และทำการ deploy service revision ใหม่ ด้วยการใช้ภาพ container ส่วนตัวภายในโปรเจ็กต์
• - ผลลัพธ์อาจนำไปสู่การดึงข้อมูลลับ, การขโมยข้อมูล หรือแม้กระทั่งควบคุมเครื่องที่ถูกโจมตี

การแก้ไข:

Google ได้ออกแพตช์ที่กำหนดให้ผู้ใช้หรือบัญชีที่สร้าง/ปรับปรุง Cloud Run service ต้องมีสิทธิ์เฉพาะในการเข้าถึงภาพ container

สิ่งสำคัญ: ช่องโหว่นี้แสดงให้เห็นถึงความเสี่ยงที่เพิ่มขึ้นในระบบคลาวด์ที่มีการใช้บริการต่าง ๆ ซ้อนทับกัน

ที่มา: thehackernews

ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ

Mobile: 09 5368 5898

Tel: 0 2093 1625

Fax: 0 2093 1675 (Auto)

Email: sales@ampomicrosys.com