cloudscheduler

cloudscheduler.jobs.create , iam.serviceAccounts.actAs, (cloudscheduler.locations.list)

Un attaccante con queste autorizzazioni potrebbe sfruttare Cloud Scheduler per autenticare i cron job come un Service Account specifico. Creando una richiesta HTTP POST, l'attaccante pianifica azioni, come la creazione di un bucket di archiviazione, da eseguire con l'identità del Service Account. Questo metodo sfrutta la capacità del Scheduler di indirizzare gli endpoint *.googleapis.com e autenticare le richieste, consentendo all'attaccante di manipolare direttamente gli endpoint delle API di Google utilizzando un semplice comando gcloud.

Esempio per creare un nuovo job che utilizzerà un Service Account specifico per creare un nuovo bucket di archiviazione per nostro conto, potremmo eseguire il seguente comando:

gcloud scheduler jobs create http test –schedule='* * * * *' –uri='https://storage.googleapis.com/storage/v1/b?project=<PROJECT-ID>' --message-body "{'name':'new-bucket-name'}" --oauth-service-account-email 111111111111-compute@developer.gserviceaccount.com –headers Content-Type=application/json

Per ottenere privilegi elevati, un attaccante deve semplicemente creare una richiesta HTTP mirata all'API desiderata, impersonando il Service Account specificato

Riferimenti

• https://rhinosecuritylabs.com/gcp/privilege-escalation-google-cloud-platform-part-1/