GCP - Serviceusage Privesc
serviceusage
다음 권한은 API 키를 생성하고 도용하는 데 유용합니다. 문서에서는 다음과 같이 설명됩니다: API 키는 주체 없이 응용 프로그램을 식별하는 간단한 암호화된 문자열입니다. 이들은 공개 데이터에 익명으로 액세스하는 데 유용하며, 할당량 및 청구를 위해 API 요청을 프로젝트와 연결하는 데 사용됩니다.
따라서 API 키를 사용하면 회사가 API 사용에 대한 비용을 지불하지만 권한 상승은 할 수 없습니다.
다른 권한과 API 키 생성 방법을 알아보려면 다음을 확인하세요:
pageGCP - Apikeys Privescserviceusage.apiKeys.create
serviceusage.apiKeys.create
API 키를 생성하는 데 사용할 수 있는 문서화되지 않은 API를 발견했습니다:
serviceusage.apiKeys.list
serviceusage.apiKeys.list
이미 생성된 API 키를 나열하기 위해 다른 문서화되지 않은 API가 발견되었습니다 (응답에 API 키가 표시됩니다):
serviceusage.services.enable
, serviceusage.services.use
serviceusage.services.enable
, serviceusage.services.use
이 권한을 가진 공격자는 프로젝트에서 새로운 서비스를 활성화하고 사용할 수 있습니다. 이를 통해 공격자는 관리자(admin) 또는 cloudidentity와 같은 서비스를 활성화하여 Workspace 정보에 접근하거나, 다른 서비스를 통해 흥미로운 데이터에 접근할 수 있습니다.
참고 자료
最終更新