GCP - Cloudscheduler Privesc
cloudscheduler
cloudscheduler.jobs.create
, iam.serviceAccounts.actAs
, (cloudscheduler.locations.list
)
cloudscheduler.jobs.create
, iam.serviceAccounts.actAs
, (cloudscheduler.locations.list
)Ein Angreifer mit diesen Berechtigungen könnte Cloud Scheduler ausnutzen, um Cron-Jobs als bestimmten Dienstaccount zu authentifizieren. Indem er eine HTTP-POST-Anfrage erstellt, plant der Angreifer Aktionen, wie das Erstellen eines Storage-Buckets, die unter der Identität des Dienstkontos ausgeführt werden sollen. Diese Methode nutzt die Fähigkeit des Schedulers, *.googleapis.com
-Endpunkte anzusprechen und Anfragen zu authentifizieren, was es dem Angreifer ermöglicht, Google-API-Endpunkte direkt mithilfe eines einfachen gcloud
-Befehls zu manipulieren.
Beispiel zum Erstellen eines neuen Jobs, der einen bestimmten Dienstaccount verwendet, um in unserem Namen einen neuen Storage-Bucket zu erstellen, könnten wir den folgenden Befehl ausführen:
Um Berechtigungen zu eskalieren, erstellt ein Angreifer einfach eine HTTP-Anfrage, die auf die gewünschte API abzielt, wobei er das angegebene Servicekonto nachahmt.
Referenzen
Last updated