GCP - Artifact Registry Privesc

Artifact Registry

Pour plus d'informations sur l'Artifact Registry, consultez :

artifactregistry.repositories.uploadArtifacts

Avec cette permission, un attaquant pourrait télécharger de nouvelles versions des artefacts avec du code malveillant comme des images Docker :

# Configure docker to use gcloud to authenticate with Artifact Registry
gcloud auth configure-docker <location>-docker.pkg.dev

# tag the image to upload it
docker tag <local-img-name>:<local-tag> <location>-docker.pkg.dev/<proj-name>/<repo-name>/<img-name>:<tag>

# Upload it
docker push <location>-docker.pkg.dev/<proj-name>/<repo-name>/<img-name>:<tag>

mkdir hello_world_library
cd hello_world_library
mkdir hello_world
touch hello_world/__init__.py

# hello_world/greet.py
def say_hello():
return "Hello, World!"

# setup.py
from setuptools import setup, find_packages

setup(
name='hello_world',
version='0.1',
packages=find_packages(),
install_requires=[
# Toute dépendance dont votre bibliothèque a besoin
],
)

python3 setup.py sdist bdist_wheel

```sh
twine upload --username 'oauth2accesstoken' --password "$(gcloud auth print-access-token)" --repository-url https://<location>-python.pkg.dev/<project-id>/<repo-name>/ dist/*
```

rm -rf dist build hello_world.egg-info

gcloud artifacts versions delete <version> --repository=<repo-name> --location=<location> --package=<lib-name>

artifactregistry.repositories.downloadArtifacts

Avec cette autorisation, vous pouvez télécharger des artefacts et rechercher des informations sensibles et des vulnérabilités.

Téléchargez une image Docker :

# Configure docker to use gcloud to authenticate with Artifact Registry
gcloud auth configure-docker <location>-docker.pkg.dev

# Dowload image
docker pull <location>-docker.pkg.dev/<proj-name>/<repo-name>/<img-name>:<tag>

Téléchargez une bibliothèque python :

pip install <lib-name> --index-url "https://oauth2accesstoken:$(gcloud auth print-access-token)@<location>-python.pkg.dev/<project-id>/<repo-name>/simple/" --trusted-host <location>-python.pkg.dev --no-cache-dir

• Que se passe-t-il si des registres distants et standard sont mélangés dans un registre virtuel et qu'un package existe dans les deux ? Consultez cette page :

artifactregistry.tags.delete, artifactregistry.versions.delete, artifactregistry.packages.delete, (artifactregistry.repositories.get, artifactregistry.tags.get, artifactregistry.tags.list)

Supprimer des artefacts du registre, comme des images docker :

# Delete a docker image
gcloud artifacts docker images delete <location>-docker.pkg.dev/<proj-name>/<repo-name>/<img-name>:<tag>

artifactregistry.repositories.delete

Supprimez un dépôt complet (même s'il a du contenu) :

gcloud artifacts repositories delete <repo-name> --location=<location>

artifactregistry.repositories.setIamPolicy

Un attaquant avec cette permission pourrait se donner des permissions pour effectuer certaines des attaques de dépôt mentionnées précédemment.

Pivot vers d'autres services via la lecture et l'écriture de l'Artifact Registry

• Cloud Functions

Lorsqu'une Cloud Function est créée, une nouvelle image docker est poussée vers l'Artifact Registry du projet. J'ai essayé de modifier l'image avec une nouvelle, et même de supprimer l'image actuelle (et l'image cache), et rien n'a changé, la fonction cloud continue de fonctionner. Par conséquent, il pourrait être possible d'abuser d'une attaque de condition de course comme avec le bucket pour changer le conteneur docker qui sera exécuté, mais modifier simplement l'image stockée n'est pas possible pour compromettre la Cloud Function.

• App Engine

Bien qu'App Engine crée des images docker à l'intérieur de l'Artifact Registry. Il a été testé que même si vous modifiez l'image à l'intérieur de ce service et supprimez l'instance App Engine (de sorte qu'une nouvelle soit déployée), le code exécuté ne change pas. Il pourrait être possible qu'en effectuant une attaque de condition de course comme avec les buckets, il pourrait être possible de remplacer le code exécuté, mais cela n'a pas été testé.