cloudscheduler

cloudscheduler.jobs.create, iam.serviceAccounts.actAs, (cloudscheduler.locations.list)

Зловмисник з цими дозволами може використовувати Cloud Scheduler, щоб аутентифікувати cron-завдання як певний обліковий запис служби. Шляхом створення HTTP POST-запиту зловмисник планує дії, наприклад, створення сховища, щоб виконати під ідентичністю облікового запису служби. Цей метод використовує здатність планувальника спрямовувати запити до кінцевих точок *.googleapis.com та аутентифікувати запити, що дозволяє зловмиснику маніпулювати кінцевими точками Google API безпосередньо за допомогою простої команди gcloud.

Приклад створення нового завдання, яке буде використовувати певний обліковий запис служби для створення нового сховища, від нашого імені, можна виконати наступну команду:

gcloud scheduler jobs create http test –schedule='* * * * *' –uri='https://storage.googleapis.com/storage/v1/b?project=<PROJECT-ID>' --message-body "{'name':'new-bucket-name'}" --oauth-service-account-email 111111111111-compute@developer.gserviceaccount.com –headers Content-Type=application/json

Для підвищення привілеїв зловмисник просто створює HTTP-запит, спрямований на бажаний API, підробляючи вказаний обліковий запис служби

Посилання

• https://rhinosecuritylabs.com/gcp/privilege-escalation-google-cloud-platform-part-1/