deploymentmanager

deploymentmanager.deployments.create

To jedno uprawnienie pozwala Ci uruchamiać nowe wdrożenia zasobów w GCP przy użyciu dowolnych kont usług. Na przykład możesz uruchomić instancję obliczeniową z SA, aby się do niej zescalować.

Właściwie możesz uruchomić dowolny zasób wymieniony w gcloud deployment-manager types list

W oryginalnym badaniu używany jest następujący skrypt do wdrożenia instancji obliczeniowej, jednak ten skrypt nie będzie działać. Sprawdź skrypt do automatyzacji tworzenia, wykorzystania i czyszczenia środowiska podatnego na atak tutaj.

deploymentmanager.deployments.update

To jest podobne nadużycie jak poprzednie, ale zamiast tworzyć nowe wdrożenie, modyfikujesz już istniejące (więc bądź ostrożny)

Sprawdź skrypt do automatyzacji tworzenia, wykorzystania i czyszczenia środowiska podatnego na atak tutaj.

deploymentmanager.deployments.setIamPolicy

To jest podobne nadużycie jak poprzednie, ale zamiast bezpośrednio tworzyć nowe wdrożenie, najpierw nadajesz sobie dostęp, a następnie wykorzystujesz to uprawnienie, jak wyjaśniono w poprzedniej sekcji deploymentmanager.deployments.create.

Referencje

• https://rhinosecuritylabs.com/gcp/privilege-escalation-google-cloud-platform-part-1/