deploymentmanager

deploymentmanager.deployments.create

Ova jedna dozvola vam omogućava da pokrenete nove deploymente resursa u GCP sa proizvoljnim servisnim nalozima. Na primer, možete pokrenuti računarsku instancu sa SA da biste se uzdigli do nje.

Zapravo, možete pokrenuti bilo koji resurs naveden u gcloud deployment-manager types list

U originalnom istraživanju koristi se skripta za implementaciju računarske instance, međutim ta skripta neće raditi. Pogledajte skriptu za automatizaciju kreiranja, iskorišćavanja i čišćenja ranjivog okruženja ovde.

deploymentmanager.deployments.update

Ovo je slično prethodnom zloupotrebi, ali umesto kreiranja novog deploymenta, menjate već postojeći (budite oprezni)

Pogledajte skriptu za automatizaciju kreiranja, iskorišćavanja i čišćenja ranjivog okruženja ovde.

deploymentmanager.deployments.setIamPolicy

Ovo je slično prethodnoj zloupotrebi, ali umesto direktnog kreiranja novog deploymenta, prvo vam daje pristup, a zatim zloupotrebljava dozvolu kako je objašnjeno u prethodnom odeljku deploymentmanager.deployments.create.

Reference

• https://rhinosecuritylabs.com/gcp/privilege-escalation-google-cloud-platform-part-1/