Quand ton conteneur Google Cloud Run t'explose (presque) à la figure
Une faille IAM dans Google Cloud Run qui permettait d’exécuter des images privées sans permission ? Oui, ça a existé.
Ah, Google. Tu nous vends du "serverless sécurisé et scalable" avec des petits arcs-en-ciel et des licornes Kubernetes. Un monde magique où tout fonctionne sans friction, sans serveur apparent, sans souci. Et pourtant, comme souvent avec la magie, il y a un tour de passe-passe un peu foireux dans le fond. Il aura suffi d’un petit trou bien placé dans la coque pour que tout ton joli Cloud Run prenne l’eau. Littéralement.
👉 Ce sujet est documenté en détail ici : Faille Google Cloud Run : un risque majeur pour les conteneurs
Le bug en question ? Une vulnérabilité charmante découverte par Tenable, baptisée ImageRunner. Un nom qui ferait presque penser à un jeu de course en 3D... sauf que là, c’est plutôt un jeu de dupes. Un attaquant pouvait, grâce à une configuration un peu trop permissive, déployer une image malveillante sans même avoir les droits de lecture sur ladite image. Oui, c’est comme si quelqu’un t’invitait à un dîner sans savoir ce qu’il y a au menu, mais qu’il repartait avec la cuisine entière, le chef, et la clé de la cave à vin.
Petit rappel technique (pour faire genre on maîtrise)
Tu déploies une app dans Cloud Run.
Ton image vient d’un registry (Artifact Registry ou Container Registry).
Tu donnes (généreusement) des droits IAM style
run.services.updateetiam.serviceAccounts.actAsà un compte.Un petit malin, un peu plus malin que les autres, passe par là.
Il modifie la config du service Cloud Run pour pointer vers une image privée qu’il ne devrait pas pouvoir lire.
Et là, miracle : Cloud Run l’exécute comme si de rien n’était, super..
Résultat ? Code malveillant exécuté tranquillou dans ton environnement cloud, accès à des données sensibles, exfiltration de secrets, ouverture de connexions distantes, et potentiellement installation de backdoors bien planquées pour revenir faire coucou plus tard. Joyeux Noël 🎄. Et bonne année 0-day.
Google, toujours aussi réactif (quand on leur tape sur l’épaule)
Heureusement, tout ça a été corrigé le 28 janvier 2025. Google a patché la vulnérabilité et mis en place une vérification supplémentaire : désormais, pour qu’un service Cloud Run puisse utiliser une image privée, il faut que le compte ait explicitement le rôle artifactregistry.reader. Oui, le genre de truc qu’on pensait être en place depuis le départ. Mais bon, on n’est jamais à l’abri d’un oubli quand on gère des millions de conteneurs à la seconde.
C’est un bon rappel que les rôles IAM ne sont pas que des lignes de YAML à copier-coller. Ce sont des clés. Des clés qui ouvrent des portes. Parfois, celles qu’on ne voulait surtout pas laisser ouvertes.
IAM, ce jeu de société préféré des attaquants
Cette faille n’est pas un cas isolé. Elle fait écho à d’autres joyeusetés dans le monde merveilleux du cloud. Prenez Azure, par exemple. Un petit utilisateur avec quelques permissions bien placées peut, dans certaines conditions, escalader ses privilèges et se retrouver administrateur de tout un environnement Entra ID. Comme dans un mauvais film d’espionnage, sauf que cette fois c’est ton infra prod qui fait le rôle principal.
C’est le syndrome de la tour de Jenga : chaque service cloud est un bloc. IAM est la colle. Et dès qu’un rôle est mal configuré, que les dépendances entre services sont bancales, ou que quelqu’un a cliqué trop vite sur "Grant access", tout peut s’écrouler.
Moralité ?
Auditez vos droits IAM. Non, vraiment. Faites-le maintenant.
Vérifiez les dépendances entre services. Ce n’est pas parce que ça marche que c’est sécurisé.
Ne donnez jamais d’accès "juste au cas où". Ce "cas" arrivera. Un vendredi. À 17h.
Formez vos équipes. Parce qu’un développeur qui comprend IAM est un développeur qui dort la nuit (et vous aussi).
Le cloud, c’est cool. Mais seulement si on garde les pieds sur terre. Et un œil sur les permissions.
Sources :
GCP Cloud Run : Qu’est-ce que c’est ? À quoi ça sert ? – https://datascientest.com/gcp-cloud-run-tout-savoir
Google Fixed Cloud Run Vulnerability Allowing Unauthorized Image Access via IAM Misuse – https://thehackernews.com/2025/04/google-fixed-cloud-run-vulnerability.html
Présentation de la sécurité dans Google Cloud Run – https://cloud.google.com/run/docs/securing/security?hl=fr