GCP - Secrets Manager Enum
Secret Manager
Google Secret Manager は、パスワード、API キー、証明書、ファイル(最大 64KB)、およびその他の機密データを保存するためのボールトのようなソリューションです。
シークレットには、異なるデータを保存する異なるバージョンを持つことができます。
デフォルトでは、シークレットは Google が管理するキーを使用して暗号化されますが、シークレットを暗号化するために KMS からキーを選択することも可能です。
ローテーションに関して、一定の日数ごとに pub-sub にメッセージを送信するように構成することが可能で、それらのメッセージを受信するコードが シークレットをローテーションできます。
自動削除の日を構成することが可能で、指定された日が 到達すると、シークレットは自動的に削除されます。
列挙
特権昇格
次のページでは、シークレットマネージャーの権限を悪用して特権を昇格させる方法を確認できます。
pageGCP - Secretmanager Privesc攻撃後の利用
pageGCP - Secretmanager Post Exploitation永続化
pageGCP - Secret Manager Persistenceローテーションの誤用
攻撃者は、シークレットを更新してローテーションを停止させることができます(変更されないように)、またはローテーションをはるかに頻繁に行わないようにすることができます(シークレットが変更されないように)、またはローテーションメッセージを異なるパブ/サブに公開するか、実行されるローテーションコードを変更することができます(これは異なるサービスで行われるため、おそらくClound Function内で行われます。したがって、攻撃者はCloud Functionまたは他のサービスに対する特権アクセスが必要です)
最終更新