GCP - Cloudscheduler Privesc
cloudscheduler
cloudscheduler.jobs.create
, iam.serviceAccounts.actAs
, (cloudscheduler.locations.list
)
cloudscheduler.jobs.create
, iam.serviceAccounts.actAs
, (cloudscheduler.locations.list
)Um atacante com essas permissões poderia explorar o Cloud Scheduler para autenticar tarefas cron como uma Conta de Serviço específica. Ao criar uma solicitação HTTP POST, o atacante agenda ações, como a criação de um bucket de armazenamento, para serem executadas sob a identidade da Conta de Serviço. Este método aproveita a capacidade do Scheduler de direcionar endpoints *.googleapis.com
e autenticar solicitações, permitindo ao atacante manipular diretamente os endpoints da API do Google usando um simples comando gcloud
.
Exemplo para criar um novo trabalho que usará uma Conta de Serviço específica para criar um novo bucket de armazenamento em nosso nome, poderíamos executar o seguinte comando:
Para elevar privilégios, um atacante simplesmente cria uma solicitação HTTP direcionada à API desejada, fazendo-se passar pela Conta de Serviço especificada
Referências
Última actualización