Journalisation Stackdriver

Stackdriver est la suite de journalisation d'infrastructure polyvalente de Google qui pourrait capturer des informations sensibles comme des capacités de type syslog qui rapportent les commandes individuelles exécutées à l'intérieur des instances de calcul, les requêtes HTTP envoyées aux équilibreurs de charge ou aux applications App Engine, les métadonnées de paquets réseau pour les communications VPC, et plus encore.

Le compte de service pour une instance de calcul a seulement besoin d'un accès en ÉCRITURE pour activer la journalisation des actions de l'instance, mais un administrateur peut par erreur accorder au compte de service un accès en LECTURE et en ÉCRITURE. Si c'est le cas, vous pouvez explorer les journaux à la recherche de données sensibles.

gcloud logging fournit des outils pour réaliser cela. Tout d'abord, vous voudrez voir quels types de journaux sont disponibles dans votre projet actuel.

# List logs
gcloud logging logs list
NAME
projects/REDACTED/logs/OSConfigAgent
projects/REDACTED/logs/cloudaudit.googleapis.com%2Factivity
projects/REDACTED/logs/cloudaudit.googleapis.com%2Fsystem_event
projects/REDACTED/logs/bash.history
projects/REDACTED/logs/compute.googleapis.com
projects/REDACTED/logs/compute.googleapis.com%2Factivity_log

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

Références

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging