GCP - Stackdriver Enum

Stackdriver logging

Stackdriver est reconnu comme une suite de journalisation d'infrastructure complète proposée par Google. Il a la capacité de capturer des données sensibles grâce à des fonctionnalités telles que syslog, qui rapporte les commandes individuelles exécutées à l'intérieur des instances Compute. De plus, il surveille les requêtes HTTP envoyées aux équilibreurs de charge ou aux applications App Engine, les métadonnées des paquets réseau au sein des communications VPC, et plus encore.

Pour une instance Compute, le compte de service correspondant nécessite simplement des autorisations WRITE pour faciliter la journalisation des activités de l'instance. Néanmoins, il est possible qu'un administrateur puisse inadvertently fournir au compte de service à la fois des autorisations READ et WRITE. Dans de tels cas, les journaux peuvent être examinés pour des informations sensibles.

Pour ce faire, l'utilitaire gcloud logging offre un ensemble d'outils. Il est recommandé de commencer par identifier les types de journaux présents dans votre projet actuel.

# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

Références

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging

• https://initblog.com/2020/gcp-post-exploitation/