Secret Manager

Google Secret Manager è una soluzione simile a una cassaforte per memorizzare password, chiavi API, certificati, file (max 64KB) e altri dati sensibili.

Un segreto può avere diverse versioni che memorizzano dati diversi.

I segreti per default sono criptati utilizzando una chiave gestita da Google, ma è possibile selezionare una chiave da KMS da utilizzare per crittografare il segreto.

Per quanto riguarda la rotazione, è possibile configurare messaggi da inviare a pub-sub ogni tot giorni, il codice in ascolto di quei messaggi può ruotare il segreto.

È possibile configurare un giorno per la cancellazione automatica, quando il giorno indicato è raggiunto, il segreto verrà eliminato automaticamente.

Enumerazione

# First, list the entries
gcloud secrets list
gcloud secrets get-iam-policy <secret_name>

# Then, pull the clear-text of any version of any secret
gcloud secrets versions list <secret_name>
gcloud secrets versions access 1 --secret="<secret_name>"

Escalazione dei privilegi

Nella seguente pagina puoi verificare come abusare delle autorizzazioni di secretmanager per escalare i privilegi.

Post Esploitation

Persistenza

Abuso della rotazione

Un attaccante potrebbe aggiornare il segreto per fermare le rotazioni (così non verrà modificato), o rendere le rotazioni molto meno frequenti (così il segreto non verrà modificato) o pubblicare il messaggio di rotazione su un diverso pub/sub, o modificare il codice di rotazione in esecuzione (questo avviene in un servizio diverso, probabilmente in una Funzione Cloud, quindi l'attaccante avrà bisogno di un accesso privilegiato sulla Funzione Cloud o su qualsiasi altro servizio)