Registro de Stackdriver

Stackdriver es la suite de registro de infraestructura de propósito general de Google que podría estar capturando información sensible como capacidades similares a syslog que informan sobre comandos individuales ejecutados dentro de Instancias de Compute, solicitudes HTTP enviadas a balanceadores de carga o aplicaciones de App Engine, metadatos de paquetes de red para comunicaciones de VPC y más.

La cuenta de servicio para una Instancia de Compute solo necesita acceso WRITE para habilitar el registro de acciones de la instancia, pero un administrador puede otorgar por error a la cuenta de servicio acceso tanto de READ como de WRITE. Si este es el caso, puedes explorar los registros en busca de datos sensibles.

gcloud logging proporciona herramientas para realizar esta tarea. Primero, querrás ver qué tipos de registros están disponibles en tu proyecto actual.

# List logs
gcloud logging logs list
NAME
projects/REDACTED/logs/OSConfigAgent
projects/REDACTED/logs/cloudaudit.googleapis.com%2Factivity
projects/REDACTED/logs/cloudaudit.googleapis.com%2Fsystem_event
projects/REDACTED/logs/bash.history
projects/REDACTED/logs/compute.googleapis.com
projects/REDACTED/logs/compute.googleapis.com%2Factivity_log

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

Referencias

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging