นักวิจัยด้านความปลอดภัย แจ้งเตือนการพบแฮ็กเกอร์ที่กำลังใช้ประโยชน์จากบริการ Google Cloud Run ในการแพร่กระจายมัลแวร์ Banking Trojan ไปยังธนาคารจำนวนมาก เช่น Astaroth, Mekotio และ Ousaban (more…)

Cloud Run และ Cloud Function ใน project ใด ๆ ก็ตาม และจะอยู่ที่ organization ใดก็ได้ สามารถถูก bypass GKE Authorized Networks (Kubernetes control plane firewalls) ไปยัง Kubernetes Cluster API server ที่อยู่คนละ project หรือคนละ organization ได้

เนื่องจาก Cloud Run และ Cloud Function ทำงานอยู่บน Google Kubernetes Engine (GKE) เมื่อ firewall rules ภายใน service ไม่ได้มีการ Block traffic ระหว่าง Cloud Run, Cloud Functions services กับ Kubernetes API server IP address จึงทำให้ทั้งสอง service นี้สามารถเชื่อมต่อกันได้แม้จะมีการตั้งค่า Kubernetes control plane firewalls โดยผู้ใช้งานแล้ว แต่การจะเรียกใช้ Kubernetes API ได้นั้น ยังคงต้องทำการ authentication อยู่

วิธีการแก้ไข

ในปลายเดือนสิงหาคมผู้ใช้งาน GKE 99% จะได้รับการอัปเดต firewall rule และ GKE services โดยจะมีชุด IP เป็นของตัวเอง ทำให้ service อื่นไม่สามารถเข้าถึงได้โดยที่ผู้ใช้งานไม่ต้องดำเนินการใด ๆ
ส่วนลูกค้า GKE 1% ที่เหลือ ทาง Google จะติดต่อไป และให้คำแนะนำสำหรับขั้นตอนการ migrate

ที่มา:  twitter , cloud.