GCP - Cloudscheduler Privesc

cloudscheduler

cloudscheduler.jobs.create , iam.serviceAccounts.actAs, (cloudscheduler.locations.list)

Napadač sa ovim dozvolama može iskoristiti Cloud Scheduler da autentifikuje cron poslove kao određeni Service Account. Kreiranjem HTTP POST zahteva, napadač zakazuje akcije, poput kreiranja Storage bucket-a, koje će se izvršiti pod identitetom Service Account-a. Ova metoda koristi mogućnost Scheduler-a da cilja *.googleapis.com endpointe i autentifikuje zahteve, omogućavajući napadaču da direktno manipuliše Google API endpointima koristeći jednostavnu gcloud komandu.

Primer za kreiranje novog posla koji će koristiti određeni Service Account za kreiranje novog Storage bucket-a u naše ime, možemo pokrenuti sledeću komandu:

gcloud scheduler jobs create http test –schedule='* * * * *' –uri='https://storage.googleapis.com/storage/v1/b?project=<PROJECT-ID>' --message-body "{'name':'new-bucket-name'}" --oauth-service-account-email 111111111111-compute@developer.gserviceaccount.com –headers Content-Type=application/json

Da bi eskalirao privilegije, napadač jednostavno kreira HTTP zahtev koji cilja željeni API, predstavljajući se kao određeni Servisni Nalog

Reference

• https://rhinosecuritylabs.com/gcp/privilege-escalation-google-cloud-platform-part-1/