GCP - Cloudscheduler Privesc

cloudscheduler

cloudscheduler.jobs.create , iam.serviceAccounts.actAs, (cloudscheduler.locations.list)

Ένας επιτιθέμενος με αυτές τις άδειες μπορεί να εκμεταλλευτεί το Cloud Scheduler για να πιστοποιήσει τις εργασίες cron ως ένα συγκεκριμένο Λογαριασμό Υπηρεσίας. Με τον δημιουργικό ενός αιτήματος HTTP POST, ο επιτιθέμενος προγραμματίζει ενέργειες, όπως η δημιουργία ενός κάδου αποθήκευσης, για να εκτελεστούν υπό την ταυτότητα του Λογαριασμού Υπηρεσίας. Αυτή η μέθοδος εκμεταλλεύεται την ικανότητα του Scheduler να στοχεύει τις καταλήξεις *.googleapis.com και να πιστοποιεί αιτήματα, επιτρέποντας στον επιτιθέμενο να χειρίζεται απευθείας τις καταλήξεις του Google API χρησιμοποιώντας μια απλή εντολή gcloud.

Παράδειγμα για τη δημιουργία μιας νέας εργασίας που θα χρησιμοποιήσει έναν συγκεκριμένο Λογαριασμό Υπηρεσίας για να δημιουργήσει έναν νέο κάδο αποθήκευσης εκ μέρους μας, θα μπορούσαμε να εκτελέσουμε την ακόλουθη εντολή:

gcloud scheduler jobs create http test –schedule='* * * * *' –uri='https://storage.googleapis.com/storage/v1/b?project=<PROJECT-ID>' --message-body "{'name':'new-bucket-name'}" --oauth-service-account-email 111111111111-compute@developer.gserviceaccount.com –headers Content-Type=application/json

Για να αναβαθμίσει τα δικαιώματα, ένας επιτιθέμενος απλά δημιουργεί ένα αίτημα HTTP προς τον επιθυμητό API, προσωποποιώντας τον καθορισμένο Λογαριασμό Υπηρεσίας

Αναφορές

• https://rhinosecuritylabs.com/gcp/privilege-escalation-google-cloud-platform-part-1/