cloudscheduler

cloudscheduler.jobs.create, iam.serviceAccounts.actAs, (cloudscheduler.locations.list)

Ein Angreifer mit diesen Berechtigungen könnte Cloud Scheduler ausnutzen, um Cron-Jobs als bestimmten Dienstaccount zu authentifizieren. Indem er eine HTTP-POST-Anfrage erstellt, plant der Angreifer Aktionen, wie das Erstellen eines Storage-Buckets, die unter der Identität des Dienstkontos ausgeführt werden sollen. Diese Methode nutzt die Fähigkeit des Schedulers, *.googleapis.com-Endpunkte anzusprechen und Anfragen zu authentifizieren, was es dem Angreifer ermöglicht, Google-API-Endpunkte direkt mithilfe eines einfachen gcloud-Befehls zu manipulieren.

Beispiel zum Erstellen eines neuen Jobs, der einen bestimmten Dienstaccount verwendet, um in unserem Namen einen neuen Storage-Bucket zu erstellen, könnten wir den folgenden Befehl ausführen:

gcloud scheduler jobs create http test –schedule='* * * * *' –uri='https://storage.googleapis.com/storage/v1/b?project=<PROJECT-ID>' --message-body "{'name':'new-bucket-name'}" --oauth-service-account-email 111111111111-compute@developer.gserviceaccount.com –headers Content-Type=application/json

Um Berechtigungen zu eskalieren, erstellt ein Angreifer einfach eine HTTP-Anfrage, die auf die gewünschte API abzielt, wobei er das angegebene Servicekonto nachahmt.

Referenzen

• https://rhinosecuritylabs.com/gcp/privilege-escalation-google-cloud-platform-part-1/