cloudscheduler

cloudscheduler.jobs.create, iam.serviceAccounts.actAs, (cloudscheduler.locations.list)

Um atacante com essas permissões poderia explorar o Cloud Scheduler para autenticar tarefas cron como uma Conta de Serviço específica. Ao criar uma solicitação HTTP POST, o atacante agenda ações, como a criação de um bucket de armazenamento, para serem executadas sob a identidade da Conta de Serviço. Este método aproveita a capacidade do Scheduler de direcionar endpoints *.googleapis.com e autenticar solicitações, permitindo ao atacante manipular diretamente os endpoints da API do Google usando um simples comando gcloud.

Exemplo para criar um novo trabalho que usará uma Conta de Serviço específica para criar um novo bucket de armazenamento em nosso nome, poderíamos executar o seguinte comando:

gcloud scheduler jobs create http test –schedule='* * * * *' –uri='https://storage.googleapis.com/storage/v1/b?project=<PROJECT-ID>' --message-body "{'name':'new-bucket-name'}" --oauth-service-account-email 111111111111-compute@developer.gserviceaccount.com –headers Content-Type=application/json

Para elevar privilégios, um atacante simplesmente cria uma solicitação HTTP direcionada à API desejada, fazendo-se passar pela Conta de Serviço especificada

Referências

• https://rhinosecuritylabs.com/gcp/privilege-escalation-google-cloud-platform-part-1/