GCP - Cloudscheduler Privesc
cloudscheduler
cloudscheduler.jobs.create
, iam.serviceAccounts.actAs
, (cloudscheduler.locations.list
)
cloudscheduler.jobs.create
, iam.serviceAccounts.actAs
, (cloudscheduler.locations.list
)これらの権限を持つ攻撃者は、Cloud Scheduler を悪用して 特定のサービスアカウントとして cron ジョブを認証 できます。HTTP POST リクエストを作成することで、攻撃者は、ストレージバケットの作成などのアクションをサービスアカウントのアイデンティティで実行するようスケジュールできます。この方法は、スケジューラが *.googleapis.com
エンドポイントを対象とし、リクエストを認証する能力 を活用し、単純な gcloud
コマンドを使用して Google API エンドポイントを直接操作できるようにします。
特定のサービスアカウントを使用して新しいストレージバケットを作成する新しいジョブを作成する例として、次のコマンドを実行できます:
特権を昇格させるために、攻撃者は単に、指定されたサービスアカウントを偽装して、目的のAPIをターゲットとするHTTPリクエストを作成します
参考
最終更新