Stackdriver logging

Stackdriver é a suíte de registro de infraestrutura de uso geral do Google que pode estar capturando informações sensíveis como capacidades semelhantes ao syslog que relatam comandos individuais executados dentro de Instâncias de Computação, solicitações HTTP enviadas para balanceadores de carga ou aplicações do App Engine, metadados de pacotes de rede para comunicações VPC e mais.

A conta de serviço para uma Instância de Computação precisa apenas de acesso WRITE para habilitar o registro de ações da instância, mas um administrador pode conceder por engano à conta de serviço acesso tanto READ quanto WRITE. Se for esse o caso, você pode explorar os registros em busca de dados sensíveis.

gcloud logging fornece ferramentas para realizar essa tarefa. Primeiro, você vai querer ver quais tipos de registros estão disponíveis no seu projeto atual.

# List logs
gcloud logging logs list
NAME
projects/REDACTED/logs/OSConfigAgent
projects/REDACTED/logs/cloudaudit.googleapis.com%2Factivity
projects/REDACTED/logs/cloudaudit.googleapis.com%2Fsystem_event
projects/REDACTED/logs/bash.history
projects/REDACTED/logs/compute.googleapis.com
projects/REDACTED/logs/compute.googleapis.com%2Factivity_log

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list

Referências

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging