Escalonamento de Privilégios em Buckets

Se a política do bucket permitir que "allUsers" ou "allAuthenticatedUsers" escrevam na política do bucket (a permissão storage.buckets.setIamPolicy), então qualquer um pode modificar a política do bucket e conceder a si mesmo acesso total.

Verificar Permissões

Existem 2 maneiras de verificar as permissões de um bucket. A primeira é solicitá-las fazendo uma requisição para https://www.googleapis.com/storage/v1/b/BUCKET_NAME/iam ou executando gsutil iam get gs://BUCKET_NAME.

No entanto, se o seu usuário (potencialmente pertencente a allUsers ou allAuthenticatedUsers") não tiver permissões para ler a política iam do bucket (storage.buckets.getIamPolicy), isso não funcionará.

A outra opção, que sempre funcionará, é usar o endpoint testPermissions do bucket para descobrir se você tem a permissão especificada, por exemplo, acessando: https://www.googleapis.com/storage/v1/b/BUCKET_NAME/iam/testPermissions?permissions=storage.buckets.delete&permissions=storage.buckets.get&permissions=storage.buckets.getIamPolicy&permissions=storage.buckets.setIamPolicy&permissions=storage.buckets.update&permissions=storage.objects.create&permissions=storage.objects.delete&permissions=storage.objects.get&permissions=storage.objects.list&permissions=storage.objects.update

Escalonando

Com o programa CLI "gsutil" do Google Storage, podemos executar o seguinte comando para conceder ao "allAuthenticatedUsers" acesso à função de "Storage Admin", escalando assim os privilégios que nos foram concedidos ao bucket:

gsutil iam ch group:allAuthenticatedUsers:admin gs://BUCKET_NAME

Um dos principais atrativos para escalar de LegacyBucketOwner para Storage Admin é a capacidade de usar o privilégio "storage.buckets.delete". Em teoria, você poderia deletar o bucket após escalar seus privilégios, então você poderia criar o bucket em sua própria conta para roubar o nome.

Referências

• https://rhinosecuritylabs.com/gcp/google-cloud-platform-gcp-bucket-enumeration/