Google lançou uma atualização para o Cloud Run, um serviço gerenciado do Google Cloud Platform que executa aplicações containerizadas, corrigindo uma vulnerabilidade crítica de escalonamento de privilégios que permitia acesso não autorizado a imagens privadas e a possibilidade de injeção de código malicioso. Conhecida como “ImageRunner”, a falha foi detalhada pela pesquisadora Liv Matan, da Tenable, que alertou que, com permissões de atualização de serviços (run.services.update) e de atuação como conta de serviço (iam.serviceAccounts.actAs), um invasor poderia modificar um serviço do Cloud Run e forçar a extração de imagens privadas armazenadas no Google Artifact Registry ou no Google Container Registry.

Essa falha ocorria porque determinadas identidades, mesmo sem a permissão para acessar os repositórios de container, possuíam o direito de editar revisões do Cloud Run, possibilitando que um atacante configurasse a implantação de uma nova revisão com qualquer imagem privada do mesmo projeto. Com essa vulnerabilidade, um invasor poderia não apenas acessar dados sensíveis, mas também injetar instruções maliciosas capazes de extrair segredos, exfiltrar informações ou até abrir um shell reverso para controle remoto.

Esse cenário ilustra o risco inerente à interconexão dos serviços em nuvem, onde problemas em uma camada podem propagar vulnerabilidades a outras, um fenômeno descrito pela Tenable como “Jenga”. A correção, implementada em 28 de janeiro de 2025, agora exige que o usuário ou a conta de serviço que cria ou atualiza um recurso do Cloud Run possua permissões explícitas para acessar as imagens do container, como a função Artifact Registry Reader, reforçando a importância de políticas de IAM adequadas. Essa atualização faz parte dos esforços contínuos da Google para mitigar vulnerabilidades e proteger os dados dos clientes contra ameaças cada vez mais sofisticadas.