Schwachstelle verdeutlicht Risiken im Zusammenhang mit Cloud-Service-Abhängigkeiten.

 

Tenable, das Unternehmen für Cloud-Exposure-Management, hat eine Privilege-Escalation-Schwachstelle in Google Cloud Run namens ImageRunner entdeckt. Die Schwachstelle hätte es Angreifern ermöglichen können, Zugriffskontrollen zu umgehen, sich unautorisierten Zugang zu Container-Images zu verschaffen und dabei möglicherweise sensible Daten offenzulegen.

Cloud Run, die Serverless-Container-Plattform von Google, verwendet einen Service Agent mit erweiterten Berechtigungen, um private Images aus der Google Container Registry oder der Artifact Registry abzurufen. Den Reseachern von Tenable zufolge könnten Angreifer mit Edit-Rechten für Cloud Run diese vererbten Berechtigungen ausnutzen, um ein Container-Image abzurufen und es für die Anwendungsbereitstellung zu verwenden – was die Risiken im Zusammenhang mit Cloud-Service-Abhängigkeiten verdeutlicht.

ImageRunner ist ein Paradebeispiel für das von Tenable geprägte Jenga-Konzept – die Tendenz von Cloud-Providern, Services schichtweise aufzubauen, sodass Sicherheitsrisiken und Schwachstellen in einem Layer potenziell auf andere Services durchschlagen.

»Beim Jenga kann das Entfernen eines einzigen Bausteins das gesamte Konstrukt zum Einsturz bringen«, erklärt Liv Matan, Senior Security Researcher bei Tenable. »Cloud-Services funktionieren ähnlich: Riskante Default-Settings in einer Komponente können auf abhängige Services durchschlagen und erhöhen so das Risiko von Security Breaches.«

 

Potenzielle Auswirkungen von ImageRunner

Gelingt es Angreifern, ImageRunner auszunutzen, könnten sie:

• auf private Container-Images zugreifen und sensible Informationen oder Secrets extrahieren
• Deployment-Parameter manipulieren, um Schadcode auszuführen
• kritische Daten für Cyberspionage oder andere böswillige Aktivitäten stehlen

Google hat ImageRunner bereits adressiert – es sind keine zusätzlichen Maßnahmen erforderlich.

 

Empfehlungen für Security-Teams

Obwohl keine Benutzeraktion erforderlich ist, um ImageRunner zu beheben, empfiehlt Tenable Unternehmen:

• das Least-Privilege-Prinzip anzuwenden, um unnötige Berechtigungsvererbung zu verhindern
• versteckte Abhängigkeiten zwischen Cloud-Services mit Tools wie Jenganizer aufzudecken
• Logs regelmäßig auf verdächtige Zugriffsmuster zu überprüfen

»Die Entdeckung von ImageRunner unterstreicht die Notwendigkeit proaktiver Cloud-Security-Maßnahmen. Angesichts immer komplexerer Cloud-Umgebungen müssen Security-Teams Schwachstellen antizipieren und beheben, bevor Angreifer sie ausnutzen können«, ergänzt Matan.

Interessierte Leserinnen und Leser finden die vollständigen Forschungsergebnisse hier: https://www.tenable.com/security/research/tra-2025-04

 

6544 Artikel zu „Cloud Sicherheit“

Ausgabe 1-2-2025 | Security Spezial 1-2-2025 | News | Cloud Computing | IT-Security

Mit CASBs die Cloud-Sicherheit in Unternehmen stärken – Schranke für den Cloud-Datenverkehr

3. März 2025

Damit Unternehmen ihre Sicherheits- und Compliance-Richtlinien effektiver umsetzen und sensible Daten zuverlässiger schützen können sollten sie Cloud Access Security Broker einsetzen.

Weiterlesen →

Trends 2025 | News | Trends Cloud Computing | Cloud Computing | Digitale Transformation | Nachhaltigkeit

Cloud-Trends 2025: Innovationen, Sicherheit und Nachhaltigkeit im Fokus

8. Januar 2025

  Die Cloud bleibt auch 2025 ein zentraler Treiber der digitalen Transformation. Doch wie sieht die Zukunft der Technologie aus? Welche Trends werden die Branche prägen, und wie können die Potenziale der Cloud optimal ausgeschöpft werden? IONOS wirft einen Blick auf die Cloud-Trends und Entwicklungen im Jahr 2025, dabei im Fokus: Innovationen, Sicherheit und Nachhaltigkeit.…

Weiterlesen →

Trends 2025 | News | Cloud Computing | Digitalisierung | Effizienz | IT-Security | Künstliche Intelligenz | Strategien | Whitepaper

Sicherheit, KI, Cloud, Effizienz und Kompetenzentwicklung: Herausforderungen der digitalen Transformation

11. Dezember 2024

Cybersicherheit, KI und Cloud-Einführung definieren die Rollen von IT-Fachleuten neu, wie die neueste globale Umfrage von Paessler zeigt 77 % der IT-Führungskräfte stufen die Cybersicherheit als ihre größte Herausforderung für die nächsten 2–3 Jahre ein. Die Einführung von KI und Cloud-Diensten verändert die IT-Rollen und treibt die Nachfrage nach neuen Fähigkeiten voran. IT-Teams müssen hybride…

Weiterlesen →

News | Business | IT-Security | Künstliche Intelligenz

Cloud-Sicherheit: Intelligente Cloud-Sicherheit für moderne Finanzunternehmen

13. November 2024

Die zunehmende Digitalisierung im Finanzsektor bringt enorme Chancen, aber auch neue Herausforderungen mit sich. Besonders der Einsatz von Cloud-Diensten und künstlicher Intelligenz (KI) bietet viel Potenzial, erfordert jedoch auch robuste Sicherheitsstrategien. Thomas Wethmar, Regional Director DACH bei Skyhigh Security erläutert, wie moderne SSE-Lösungen Finanzunternehmen dabei unterstützen können, Risiken zu minimieren, die Effizienz zu steigern und…

Weiterlesen →

News | Cloud Computing | IT-Security | Tipps

Mehr Sicherheit für sensible Daten in der Cloud

28. Oktober 2024

Wenn Unternehmen in der Cloud geistiges Eigentum oder persönliche Informationen verlieren, drohen ihnen erhebliche Konsequenzen. Mit den richtigen Maßnahmen für Datensicherheit in der Cloud können sie zuverlässig Vorsorge treffen.   Datensicherheit in der Cloud wird für Unternehmen zunehmend zu einem kritischen Bestandteil ihrer IT-Infrastruktur. Sie nutzen immer häufiger Cloud-Dienste für den Betrieb von Anwendungen und…

Weiterlesen →

News | Cloud Computing | IT-Security | Ausgabe 9-10-2024 | Security Spezial 9-10-2024

Warum die IT-Sicherheit für den Weg in die Cloud spricht – Safety First

14. Oktober 2024

Die Vorurteile gegenüber Cloud Computing sind so alt wie die Technologie selbst. Hartnäckig hält sich dabei auch die Meinung, Cloud-Lösungen seien besonders anfällig für Datenverluste und Cyberangriffe. Höchste Zeit, diese überholte Sichtweise zu ändern – denn ein genauerer Blick zeigt, dass die Wolke nicht nur widerstandsfähig ist, sondern Anwendern auch entscheidende Vorteile bietet, bei denen On-Premises-Ansätze nicht mithalten können.

Weiterlesen →

News | Cloud Computing | IT-Security | Ausgabe 7-8-2024 | Security Spezial 7-8-2024

Sicherheit Vor-Ort oder in der Cloud – Die Cloud im Kreuzfeuer der Cyberkriminalität

25. August 2024

Zum vierten Mal in Folge hat die Thales Group ihren Cloud Security Report veröffentlicht. Eine wichtige Erkenntnis daraus: Unternehmen weltweit äußern Bedenken an der Sicherheit von Cloud-Lösungen. Björn Orth, Geschäftsführer beim Microsoft-Reseller VENDOSOFT, stellt in Anbetracht dessen die Frage: Ist sie dann das Mittel der Wahl?

Weiterlesen →

News | Cloud Computing | IT-Security | Ausgabe 3-4-2024 | Security Spezial 3-4-2024

Sicherheitsstrategie, Sicherheitskonzept und Security-Tools – Cloud-Nutzung? Ja, aber sicher

24. April 2024

In immer mehr Unternehmen etablieren sich Cloud-Umgebungen als fester Bestandteil der IT-Infrastruktur. Das erfordert eine Anpassung der Sicherheitslandschaft, besonders wenn Cloud-Systeme parallel zu On-Premises-Umgebungen zum Einsatz kommen. Durch eine identitätsbasierte Sicherheitsstrategie, ein konsolidiertes Sicherheitskonzept und cloud-gestützte Security-Tools gelingt ein sicherer und performanter Betrieb.

Weiterlesen →

News | Cloud Computing | IT-Security | Ausgabe 1-2-2024 | Security Spezial 1-2-2024

Sicherheit in der Cloud durch Mikrosegmentierung – Man kann nur schützen, was man sehen kann

10. März 2024

Neudefinierung der Cloud-Sicherheit mit Zero-Trust-Segmentierung.

Weiterlesen →

News | Trends 2024 | Trends Security | Trends Cloud Computing | Cloud Computing | IT-Security

Paradoxes Verhältnis von Cloud-Nutzung und Cloud-Sicherheit

26. Februar 2024

    Der Cloud Security Index zeigt deutlich, dass in vielen deutschen Unternehmen ein paradoxes Verhältnis zwischen der Cloud-Nutzung und der Cloud-Sicherheit besteht. Die Studie, bei der 200 IT- und IT-Sicherheitsentscheider in Deutschland befragt wurden, zeigt, dass die Cloud eine Schlüsselrolle in der IT deutscher Unternehmen spielt [1]: 99 % nutzen die Cloud, und 98…

Weiterlesen →

News | Favoriten der Redaktion | IT-Security | Kommunikation | Lösungen | Services

Luftig leichte Sicherheit: E-Mail-Kommunikation in der Cloud

15. Februar 2024

Der Arbeitstag beginnt, und mit dem ersten Kaffee in der Hand öffnen Sie Ihren Posteingang, denn Sie erwarten eine wichtige E-Mail von einem Kunden. Doch in Ihrer Inbox wartet eine Flut von Nachrichten – von offensichtlichem Spam über verlockende Angebote bis hin zu scheinbar legitimen Nachrichten, die jedoch den verdächtigen Geruch von Phishing tragen. In…

Weiterlesen →

News | Trends 2024 | Trends Security | Cloud Computing | IT-Security | Tipps

2024: Cloud wird zum Hauptkriegsschauplatz für Cybersicherheit

3. Januar 2024

IT-Sicherheitsexperten von Tenable blicken auf die Herausforderungen, die uns im Jahr 2024 erwarten. Ihr Fokus richtet sich dabei auf die Themen Cloud, Identitäten, Collaboration und Online-Betrug.   Shai Morag, SVP and General Manager Cloud Security, Tenable: »Im Laufe des Jahres haben Führungskräfte verstanden, dass Sicherheit ein zentrales Ziel bei der Bereitstellung und Implementierung von Anwendungen…

Weiterlesen →

News | Infrastruktur | Strategien | Ausgabe 11-12-2023 | Security Spezial 11-12-2023

Vertrauen ist gut – Verschlüsselung ist besser:
Die souveräne Cloud, die Datensicherheit suggeriert, wo keine ist

26. Dezember 2023

Wenn es um die Sicherheit und den Schutz von Daten in der Cloud geht, ist immer öfter von der »souveränen Cloud« die Rede. Was verbirgt sich hinter diesem Begriff? Und bietet sie wirklich die Sicherheit, die sich Unternehmen und Datenschützer von ihr erhoffen? Im Gespräch mit Andreas Steffen, dem Geschäftsführer von eperi, hinterfragt Manage IT die Wirkungskraft der souveränen Cloud und identifiziert Eckpunkte, auf die Unternehmen beim Einsatz der Cloud grundsätzlich achten sollten.

Weiterlesen →

News | Cloud Computing | Favoriten der Redaktion | IT-Security | Ausgabe 5-6-2023 | Security Spezial 5-6-2023

Unternehmen profitieren von Microsharding-Technologie – Cloud-Sicherheit erhöhen – Kosten sparen

14. Juni 2023

Cloud-Technologien sind heute unverzichtbar, wenn es um die agile, effiziente und preisgünstige Speicherung von Daten in heterogenen Infrastrukturen geht. Allerdings scheuen viele Unternehmen die damit verbundenen Sicherheitsrisiken, was einer verstärkten Cloud-Nutzung häufig im Weg steht. Wie IT-Verantwortliche die Risiken sicher in den Griff bekommen und dabei gleichzeitig massiv Kosten einsparen können, erklärt Pascal Cronauer, Head of EMEA Sales, bei ShardSecure.

Weiterlesen →

News | Cloud Computing | Services | Ausgabe 3-4-2023

Cloud-Euphorie – Kooperation zwischen BMC Software und Materna für mehr Datensicherheit

26. April 2023

Laut PWC wächst in Deutschland in der Bankenbranche die Begeisterung für die Cloud und auch Versicherungen und Behörden beginnen sich für die Public Cloud zu öffnen [1]. Die Anforderungen in Deutschland sind allerdings bei der Datensicherheit weiterhin sehr hoch. Drei von diesen stechen besonders hervor: Datenresidenz, Zugriff auf die Daten und Betrieb.

Weiterlesen →

News | IT-Security | Tipps

6 Schritte, die Anwendungssicherheit in Cloud-nativen Umgebungen zu steigern

6. März 2023

Cyberangriffe treten nicht nur immer häufiger auf, sie werden auch immer raffinierter. Ein Problem für IT-Abteilungen, insbesondere angesichts des Drucks, unter dem sie stehen, neue Anwendungen und Funktionen immer schneller zu veröffentlichen. Infolgedessen bestätigen in einer aktuellen Studie von AppDynamics 96 Prozent der befragten deutschen IT-Experten, dass der Innovationsschub während der Covid-19-Pandemie auf Kosten einer…

Weiterlesen →

News | IT-Security | Tipps | Whitepaper

Datensicherheit in der Cloud: Sieben Tipps gegen Datendiebstahl

18. Februar 2023

Immer mehr Unternehmen werden Opfer von Cyberattacken: Einer aktuellen Bitkom-Studie zufolge waren im vergangenen Jahr mehr als 80 Prozent der befragten Organisationen betroffen [1]. Dabei entsteht der deutschen Wirtschaft jedes Jahr ein Schaden in Höhe von mehr als 200 Milliarden Euro. Eines der größten Risiken neben dem Verlust von Daten durch Malware oder Ransomware ist…

Weiterlesen →

News | Rechenzentrum | Ausgabe 11-12-2022 | Security Spezial 11-12-2022

Ein Endpoint-Betriebssystem, das für VDI, DaaS und Cloud Workspaces entwickelt wurde – Höchster Wert auf Sicherheit

12. Dezember 2022

Mit Lösungen von IGEL können sich Unternehmen auf die Entwicklung einer soliden Sicherheitsstrategie für ihre Rechen­zentren und Clouds konzentrieren, ohne sich Gedanken darüber machen zu müssen, was draußen, am Endpoint, vor sich geht. Wir sprachen mit Matthias Haas, Geschäftsführer und CTO von IGEL über die Bedeutung des neuen IGEL OS 12.

Weiterlesen →

News | Trends Security | Trends Cloud Computing | Trends 2023

»2023 Global Tech Outlook«: Sicherheit, Cloud und Management

2. Dezember 2022

Red Hat, Anbieter von Open-Source-Lösungen, hat den Report »2023 Global Tech Outlook« veröffentlicht. Das zentrale Ergebnis der zum neunten Mal durchgeführten Untersuchung lautet: Bei IT-Investitionen ist die Sicherheit das wichtigste Thema. Für 44 % Prozent der Befragten zählt sie zu den Top-3-Prioritäten; genannt werden dabei vor allem die Netzwerksicherheit (40 %) und Cloud-Sicherheit (38 %).…

Weiterlesen →

News | IT-Security | Veranstaltungen

noris network auf der it-sa 2022: Sicherheit im Zeichen der Cloud

12. Oktober 2022

IT-Services gegen physische und Cyberattacken.   noris network, Betreiber von hochsicheren Rechenzentren mit Standorten in Nürnberg, München und Hof, wird auf der IT-Security-Fachmesse it-sa 2022 vom 25. bis 27. Oktober 2022 sein umfangreiches Service- und Lösungsportfolio präsentieren. Im Mittelpunkt stehen Angebote für die IT-Sicherheit in Unternehmen aus dem Enterprise-Segment im allgemeinen, aber auch speziell aus…

Weiterlesen →