cloudscheduler

cloudscheduler.jobs.create, iam.serviceAccounts.actAs, (cloudscheduler.locations.list)

Un atacante con estos permisos podría explotar Cloud Scheduler para autenticar trabajos cron como una cuenta de servicio específica. Al crear una solicitud HTTP POST, el atacante programa acciones, como la creación de un bucket de almacenamiento, para ejecutarse bajo la identidad de la cuenta de servicio. Este método aprovecha la capacidad del Programador para apuntar a puntos finales *.googleapis.com y autenticar solicitudes, lo que permite al atacante manipular directamente los puntos finales de la API de Google utilizando un simple comando gcloud.

Ejemplo para crear un nuevo trabajo que utilizará una cuenta de servicio específica para crear un nuevo bucket de almacenamiento en nuestro nombre, podríamos ejecutar el siguiente comando:

gcloud scheduler jobs create http test –schedule='* * * * *' –uri='https://storage.googleapis.com/storage/v1/b?project=<PROJECT-ID>' --message-body "{'name':'new-bucket-name'}" --oauth-service-account-email 111111111111-compute@developer.gserviceaccount.com –headers Content-Type=application/json

Para escalar privilegios, un atacante simplemente crea una solicitud HTTP dirigida a la API deseada, suplantando la Cuenta de Servicio especificada

Referencias

• https://rhinosecuritylabs.com/gcp/privilege-escalation-google-cloud-platform-part-1/