GCP - Secrets Manager Enum

Secret Manager

Google Secret Manager, şifreleri, API anahtarlarını, sertifikaları, dosyaları (maksimum 64KB) ve diğer hassas verileri depolamak için bir kasa benzeri bir çözümdür.

Bir sır, farklı verileri depolayan farklı sürümlere sahip olabilir.

Sırlar, varsayılan olarak Google tarafından yönetilen bir anahtar kullanılarak şifrelenir, ancak sırrı şifrelemek için kullanılacak bir anahtar seçmek için KMS'den bir anahtar seçmek mümkündür.

Dönüşüm ile ilgili olarak, belirli bir gün için pub-sub'a gönderilecek mesajlar yapılandırılabilir, bu mesajları dinleyen kod, sırrı döndürebilir.

Otomatik silme için bir gün yapılandırmak mümkündür, belirtilen gün ulaşıldığında, sır otomatik olarak silinecektir.

Enumerasyon

# First, list the entries
gcloud secrets list
gcloud secrets get-iam-policy <secret_name>

# Then, pull the clear-text of any version of any secret
gcloud secrets versions list <secret_name>
gcloud secrets versions access 1 --secret="<secret_name>"

Yetki Yükseltme

Aşağıdaki sayfada, yetki yükseltmek için secretmanager izinlerinin kötüye kullanımını nasıl kontrol edeceğinizi görebilirsiniz.

Saldırı Sonrası

Süreklilik

Döndürme yanlış kullanımı

Bir saldırgan, gizli bilgiyi döndürmeleri durdurmak için güncelleyebilir (bu şekilde değiştirilmez), veya döndürmelerin daha az sıklıkla gerçekleşmesini sağlayabilir (bu şekilde gizli bilgi değiştirilmez), veya döndürme mesajını farklı bir pub/sub'a yayınlayabilir, veya döndürme kodunu değiştirebilir (bu başka bir hizmette gerçekleşir, muhtemelen bir Cloud Function'da, bu nedenle saldırganın Cloud Function veya başka bir hizmet üzerinde ayrıcalıklı erişime ihtiyacı olacaktır)