Schwachstelle „ImageRunner“ in Google Cloud Run entdeckt : Privilege Escalation durch Berechtigungsvererbung – Tenable warnt vor versteckten Risiken in Cloud-Diensten
Eine neue Schwachstelle in Google Cloud Run zeigt, wie tief Sicherheitsrisiken in modernen Cloud-Architekturen verankert sein können.
Tenable Research hat eine Sicherheitslücke in Google Cloud Run identifiziert, die unter dem Namen „ImageRunner“ geführt wird. Die Schwachstelle hätte es Angreifern mit bestimmten Rechten ermöglichen können, unautorisiert auf private Container-Images zuzugreifen und damit Sicherheitskontrollen gezielt zu umgehen.
Risiko durch Berechtigungsvererbung
Im Fokus steht die Art und Weise, wie Cloud Run – Googles Plattform für Serverless-Container – auf Images zugreift. Hierbei nutzt der Dienst einen sogenannten Service Agent, der mit weitreichenden Rechten ausgestattet ist, um Images aus der Google Container Registry oder der Artifact Registry abzurufen. Diese Rechte können, so die Analyse von Tenable, durch Nutzer mit „Edit“-Berechtigung für Cloud Run ausgenutzt werden. Die Folge: potenzieller Zugriff auf vertrauliche Inhalte und die Möglichkeit, manipulierte Images für Deployments zu verwenden.
Für Sicherheitsverantwortliche bedeutet das: Auch korrekt konfigurierte Zugriffskontrollen auf höherer Ebene können durch implizite Abhängigkeiten unterlaufen werden – besonders, wenn diese nicht vollständig transparent oder dokumentiert sind.
„Jenga“-Effekt in der Cloud
Tenable beschreibt den Fall als typisches Beispiel für ein systemisches Risiko in modernen Cloud-Architekturen – und verleiht ihm mit dem Begriff „Jenga-Effekt“ eine einprägsame Metapher. Wie beim gleichnamigen Spiel könne das Entfernen oder Fehlverhalten einer einzelnen Komponente das gesamte Gebilde ins Wanken bringen.
„Cloud-Services funktionieren ähnlich: Riskante Default-Settings in einer Komponente können auf abhängige Services durchschlagen“, erklärt Liv Matan, Senior Security Researcher bei Tenable.
Ein Satz wie aus einem Cloud-Security-Survival-Guide, und leider nur allzu realitätsnah.
Mögliche Angriffsszenarien
Es gibt drei zentrale Risiken, die durch ImageRunner entstehen könnten:
Zugriff auf private Container-Images: inklusive Extraktion sensibler Daten oder eingebetteter Secrets
Manipulation von Deployment-Parametern: etwa zur Ausführung von Schadcode
Diebstahl kritischer Informationen: z. B. für Cyberspionage oder Industriespionage
Google hat die Schwachstelle bereits behoben. Nutzer müssen selbst keine Maßnahmen ergreifen, um die konkrete Lücke zu schließen. Doch das grundsätzliche Risiko durch vererbte Berechtigungen und implizite Service-Verknüpfungen bleibt bestehen.
Empfehlungen für Sicherheitsverantwortliche
Tenable rät Unternehmen dennoch zu proaktiven Maßnahmen:
Least-Privileg-Prinzip durchsetzen: Vermeidung unnötiger Rechtevererbung in Cloud-Workflows
Abhängigkeiten aufdecken: etwa mit Tools wie Jenganizer, die verdeckte Kopplungen zwischen Services sichtbar machen
Logging und Monitoring ausbauen: um potenziell verdächtige Zugriffsmuster schnell zu erkennen
Ein technischer Hinweis am Rande: Der Jenganizer ist derzeit eher Proof-of-Concept als ausgereiftes Produkt – wer ihn nutzt, sollte wissen, was er tut.
Fazit
ImageRunner ist kein Einzelfall, sondern ein Symptom für ein strukturelles Problem in vielen Cloud-Architekturen: Sicherheit wird oft in Schichten gedacht – doch genau das kann zum Problem werden, wenn grundlegende Komponenten mit weitreichenden Berechtigungen ausgestattet sind und diese implizit an andere Dienste vererben.
Wer in der Cloud arbeitet, sollte nicht nur Konfigurationen prüfen, sondern auch die Architektur verstehen. Denn manchmal steckt der Angriffspfad eben nicht im Image selbst – sondern in der Art, wie es geladen wird.