cloudscheduler

cloudscheduler.jobs.create , iam.serviceAccounts.actAs, (cloudscheduler.locations.list)

'n Aanvaller met hierdie toestemmings kan Cloud Scheduler uitbuit om cron-werk as 'n spesifieke Service Account te verifieer. Deur 'n HTTP POST-aanvraag te skep, kan die aanvaller aksies skeduleer, soos die skep van 'n Storage-bucket, om uit te voer onder die identiteit van die Service Account. Hierdie metode maak gebruik van die Scheduler se vermoë om *.googleapis.com eindpunte te teiken en aanvrae te verifieer, wat die aanvaller in staat stel om Google API-eindpunte direk te manipuleer deur 'n eenvoudige gcloud-opdrag.

Voorbeeld om 'n nuwe taak te skep wat 'n spesifieke Service Account sal gebruik om namens ons 'n nuwe Storage-bucket te skep, kan ons die volgende opdrag uitvoer:

gcloud scheduler jobs create http test –schedule='* * * * *' –uri='https://storage.googleapis.com/storage/v1/b?project=<PROJECT-ID>' --message-body "{'name':'new-bucket-name'}" --oauth-service-account-email 111111111111-compute@developer.gserviceaccount.com –headers Content-Type=application/json

Om voorregte te verhoog, skep 'n aanvaller eenvoudig 'n HTTP-versoek wat die teiken API teiken en die gespesifiseerde Diensrekening naboots

Verwysings

• https://rhinosecuritylabs.com/gcp/privilege-escalation-google-cloud-platform-part-1/