피드로 돌아가기
Google told researcher 'Nice catch!' Then denied bug bounty for flaw it still hasn't fixed
The RegisterThe Register
Security

Config Connector의 IAM Authorization Bypass를 통한 GCP Root 권한 탈취 취약점

Google told researcher 'Nice catch!' Then denied bug bounty for flaw it still hasn't fixed

2026년 6월 18일7advanced

Context

Kubernetes 상에서 GCP 리소스를 관리하는 Config Connector의 권한 검증 누락으로 인한 보안 취약점 발생. 서비스 계정에 부여된 과도한 권한이 IAM 통제를 우회하여 조직 전체의 root 노드 권한을 획득할 수 있는 구조적 결함 존재.

Technical Solution

  • Config Connector 내 Authorization Check 로직의 부재로 인한 Confused Deputy 문제 발생
  • Kubernetes Namespace 사용자가 GCP IAM의 개별 권한 제어를 무시하고 서비스 계정의 고권한을 그대로 이용하는 구조
  • 공격자가 노출된 컨테이너를 통해 Config Connector Service Account에 접근하여 관리자 권한 명령 실행
  • Kubernetes Identity가 GCP IAM에 직접 닿지 않고 Config Connector의 Elevated Credentials를 통해 요청을 처리하는 메커니즘
  • 과거 ImageRunner 및 ConfusedComposer 사례와 유사한 'Jenga' 클래스의 권한 상승 패턴으로 분석
  • 서비스 오케스트레이션 과정에서 자동으로 배포되는 상호 연결 서비스 간의 권한 설정 미흡을 통한 권한 탈취

1. Cloud Operator 및 Service Account에 Least Privilege 원칙을 적용하여 Organization Admin 권한 부여를 최소화했는가?

2. 외부 요청이 서비스 계정의 고권한을 통해 대리 실행될 때, 요청자 본인의 권한을 재검증하는 Authorization Check 로직이 포함되어 있는가?

3. 상호 연결된 클라우드 서비스 간의 권한 전이 경로를 매핑하여 예상치 못한 권한 상승 가능성을 검토했는가?

원문 읽기